Virusradar: Vojna na Ukrajine sa nezačala iba bombami, útočníci spustili deštruktívne útoky aj v kybernetickom priestore

Predchádzajúci  stĺpček som začínal nevyprovokovanou ruskou vojenskou inváziou na Ukrajine a informáciou o deštruktívnom malvéri HermeticWiper. V nasledujúcich dňoch naši výskumníci odhalili aj ďalšie útoky, ktorých cieľom bolo vymazanie dát: IsaacWiper a CaddyWiper. Deštruktívne útoky takéhoto typu posúvajú vojnu v kybernetickom priestore z roviny kybernetickej špionáže do úplnej deštrukcie dát.

V čase písania tohto stĺpčeka bol zatiaľ posledným zisteným mazačom dát („wiper“) CaddyWiper. Tento malvér, ktorý maže dáta a informácie z pripojených diskov, bol zaznamenaný na desiatkach systémov niekoľkých organizácií na Ukrajine.  Podľa výskumu ESETu CaddyWiper nemá žiadnu veľkú podobnosť s kódom HermeticWipera alebo IsaacWipera, ktoré sme objavili okolo začiatku ruskej invázie. Podobne ako v prípade HermeticWiper však existujú dôkazy, ktoré naznačujú, že útočníci stojaci za CaddyWiperom sa do siete infiltrovali skôr, ako sa spustil samotný wiper.

Séria mazania dát v ukrajinských organizáciách – vo vláde a finančnom sektore – sa spustila v predvečer invázie, keď viaceré z nich zasiahla prvá ničivá kybernetická operácia, pri ktorej bol použitý spomínaný HermeticWiper (spoločne so škodlivými kódmi HermeticWizard a HermeticRansom). Tento kybernetický útok predchádzal ruskú vojenskú inváziu, ktorá sa začala o niekoľko hodín po tomto kybernetickom útoku. Pred inváziou zároveň zasiahli veľké ukrajinské webové stránky útoky DDoS.

Tento škodlivý kód sa sám vymaže z disku prepísaním vlastného súboru náhodnými dátami, s najväčšou pravdepodobnosťou so zámerom znemožnenia forenznej analýzy po incidente.  HermeticWiper sa v skompromitovaných sieťach množí prostredníctvom vlastného červa, ktorého sme nazvali HermeticWizard. Spolu s „wizardom“ nasadili útočníci aj falošný ransomvér HermeticRansom, pravdepodobne na odlákanie pozornosti od wipera.

Pojem Hermetic je odvodený od názvu cyperskej spoločnosti Hermetica Digital Ltd, ktorej bol vydaný digitálny certifikát, ktorým boli spomínané škodlivé kódy podpísané. Podľa agentúry Reuters sa nezdá, že by bol od spoločnosti Hermetica Digital certifikát ukradnutý. Pravdepodobnejšie je, že útočníci sa vydávali za firmu, aby dostali certifikát od spoločnosti DigiCert. Výskumníci spoločnosti ESET požiadali DigiCert, aby tento certifikát zrušil. Zaujímavosť pre čitateľov NextTechu: názov HermeticWiper vymyslel výskumník (nie z ESETu) zdieľaním nášho príspevku z  účtu ESET Research na Twitteri. Určite sa ho teda oplatí sledovať, ak vás tieto informácie zaujímajú a chcete ich mať ako prví.

Hneď na druhý deň po incidente Hermetic prišiel druhý ničivý kybernetický útok na ukrajinskú vládnu sieť prostredníctvom malvéru, ktorý sme pomenovali IsaacWiper. Zakrátko útočníci nasadili aj jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení. To môže naznačovať, že sa útočníkom nepodarilo vymazať obsah z niektorých zasiahnutých zariadení a chceli zistiť, prečo neboli úspešní.

Odhadujeme, že zasiahnuté organizácie boli skompromitované už dlhšie pred spustením wipera. Vyplýva to z niekoľkých zistení: najstaršia časová stopa malvéru HermeticWiper pochádza z 28. decembra 2021 a k vydaniu digitálneho certifikátu došlo už 13. apríla 2021. Treba podotknúť, že tieto dátumy mohli byť útočníkmi pozmenené. Minimálne v jednom prípade došlo aj k nasadeniu malvéru HermeticWiper cez default domain policy, čo naznačuje, že útočníci mali už dopredu prístup k jednému z Active Directory serverov, ktoré patrili obeti. Telemetria spoločnosti ESET objavila malvér IsaacWiper 24. februára. Najstarší časový odtlačok však pochádzal z 19. októbra 2021. Ak sa s ním nemanipulovalo, znamená to, že malvér mohol byť použitý počas útokov už pred niekoľkými mesiacmi.

Zatiaľ sa nám nepodarilo pripísať útoky konkrétnemu aktérovi, ale naša investigatíva v tomto smere pokračuje.

Dobrá informácia (ak sa to tak dá nazvať) v tejto vojne je, že spustila vlnu solidarity s Ukrajinou. Zlá správa je, že scammeri naozaj nemajú ani kúsok srdca. Prakticky okamžite sme zachytili prvé podvodné výzvy na finančné dary pre ľudí zasiahnutých vojenským konfliktom.

V podvodných príspevkoch často nie je uvedené, v prospech akej organizácie darca prispieva. Falošné zbierky takisto uvádzajú veľmi nejasný účel, na ktorý bude pomoc využitá. Zvýšte opatrnosť aj pri zbierkach, ktoré žiadajú platbu v kryptomene. Pokiaľ máte akékoľvek pochybnosti, overte si výzvu, inštitúciu či uverejnené číslo účtu na oficiálnych stránkach organizácie.

Nepíšem to preto, aby som vás odradil od pomoci Ukrajincom. Vždy však prispievajte prostredníctvom známych organizácií, ktoré preukázateľne pomáhajú v tejto sfére a majú na Ukrajine partnerov. Prispejte prostredníctvom oficiálnej stránky organizácie alebo sa obráťte priamo na danú inštitúciu, ak máte akékoľvek podozrenie o pravosti zbierky. Útočníci sa môžu vydávať aj za legitímne organizácie.

Často tu píšem o kybernetickej vojne, žiaľ, keď sa dostanú k slovu skutočné zbrane, deštrukcia životov a živobytia je nepomerne väčšia ako hociktorý kybernetický útok. Pomáhajme si navzájom obzvlášť v týchto ťažkých časoch a pomáhajme Ukrajine zasiahnutej vojenskou agresiou.