Mga Hacker na Gumagamit ng SwiftSlicer Wiper para Wasakin ang mga Windows File, Sabi ng mga Security Researcher

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong malware na sinasabing naka-target sa Ukraine. Ang malisyosong software, na nakita ng cybersecurity firm na ESET, ay nilayon na i-overwrite ang mga file na ginagamit ng Windows operating system ng Microsoft. Sinisi ng mga security researcher ang pag-atake sa isang grupo na tinawag na "Sandworm" na paulit-ulit na inakusahan ng pagsasagawa ng cyberattacks. Ang pangkat ng pag-hack ay diumano'y nag-deploy ng bagong wiper na tinatawag na SwiftSlicer gamit ang Active Directory Group Policy. Kapag naisakatuparan, ang SwiftSlicer ay nagde-delete ng mga shadow copies, sunud-sunod na ino-overwrite ang mga file sa system at non-system drive at pagkatapos ay i-reboot ang computer.

Natuklasan kamakailan ng security firm na ESET ang isang cyberattack na naka-target sa Ukraine. Ang pag-atake ay naiugnay sa Sandworm at naganap noong Enero 25. Ang koponan ay di-umano'y isa sa mga grupo ng pag-hack ng Pangunahing Direktor ng Pangkalahatang Staff ng Armed Forces ng Russian Federation ng Russia (kilala rin bilang GRU) at madalas na inaakusahan ng pagsasagawa ng cyberattacks. Ang bagong malware ay nakasulat sa Go programming language.

“Nag-deploy ang mga attacker ng bagong wiper na pinangalanan naming #SwiftSlicer gamit ang Active Directory Group Policy. Ang #SwiftSlicer wiper ay nakasulat sa Go programing language. Iniuugnay namin ang pag-atakeng ito sa #Sandworm,” ESET nagsiwalat sa pamamagitan ng Twitter.

Mga mananaliksik ng ESET ipaliwanag na ang SwiftSlicer wiper ay nagtatanggal ng mga anino na kopya sa Windows system pagkatapos ng pagpapatupad. Pagkatapos ay paulit-ulit (sunod-sunod) na ino-overwrite ng malware ang ilang file na matatagpuan sa mga driver ng system pati na rin ang mga drive na hindi system at pagkatapos ay i-reboot ang computer. Para sa overwriting ito ay gumagamit ng 4096 bytes na haba ng bloke na puno ng mga random na nabuong byte, ayon sa ESET.

Ayon sa Computer Emergency Response Team (CERT-UA) ng Ukraine, ang Sandworm ng Russia ay nag-deploy ng limang pag-atake sa pagpupunas sa National News Agency ng Ukraine – Ukrinform.

Sa isang advisory, CERT-UA ay nagsasaad na natuklasan nito ang CaddyWiper, ZeroWipe, SDelete, AwfulShred, at BidSwipe na mga variant ng wiper na naka-install sa mga system ng ahensya ng balita. Sa mga ito, ang unang tatlong naka-target na Windows system, habang ang AwfulShred at BidSwipe ay naka-target sa Linux at FreeBSD system sa Ukrinform. Bahagyang matagumpay lamang ang pag-atake at hindi nakaapekto sa mga operasyon ng ahensya ng balita.