乌克兰计算机应急响应小组 (CERT-UA) 于 1 月 17 日在该国国家新闻机构 (Ukrinform) 的网络上发现了五种不同的数据擦除恶意软件组合。
“截至 2023 年 1 月 27 日,已检测到 5 个恶意程序(脚本)样本,其功能旨在破坏信息的完整性和可用性(用零字节/任意数据写入文件/磁盘及其后续 删除),”CERT-UA 说(乌克兰语自动翻译)。
在针对 Ukrinform 的攻击中部署的破坏性恶意软件列表包括 CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux) 和 BidSwipe (FreeBSD)。
五个变种中的两个,ZeroWipe 和 BidSwipe,要么是新的恶意软件,要么被乌克兰人使用与反恶意软件供应商使用的名称不同的名称进行跟踪。
攻击者使用 Windows 组策略 (GPO) 启动了 CaddyWiper 恶意软件,表明他们事先已经破坏了目标的网络。
正如 CERT-UA 在调查期间发现的那样,威胁行为者在 12 月 7 日左右获得了对 Ukrinform 网络的远程访问权限,并等待了一个多月才释放恶意软件鸡尾酒。
但是,他们试图清除新闻机构系统中所有数据的尝试失败了。 擦除器仅成功销毁了“几个数据存储系统”上的文件,这并未影响 Ukrinform 的运营。
“CERT-UA 强调网络攻击只是部分成功,特别是在有限数量的数据存储系统方面,”乌克兰国家特殊通信和信息保护局 (SSSCIP) 补充道。
网络攻击与俄罗斯 Sandworm 军事黑客有关
CERT-UA 上周将此次攻击与 Sandworm 威胁组织联系起来,该组织隶属于主要情报局 (GRU) 的俄罗斯军事部队 74455。
Sandworm 还在 4 月份针对一家大型乌克兰能源供应商的另一次失败攻击中使用了 CaddyWiper 数据擦除器。
在那次攻击中,俄罗斯黑客使用了类似的策略,部署 CaddyWiper 来清除 Industroyer ICS 恶意软件留下的痕迹,以及其他三个为 Linux 和 Solaris 系统设计的擦除器,并被跟踪为 Orcshred、Soloshred 和 Awfulshred。
自 2022 年 2 月俄罗斯入侵乌克兰以来,除了 CaddyWiper 之外,乌克兰目标网络上还部署了多种数据擦除恶意软件。
此列表还包括 DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate 和 AcidRain 等。
微软和斯洛伐克软件公司 ESET 也将最近针对乌克兰的勒索软件攻击与 Sandworm 黑客组织联系起来。
如若转载,请注明出处:https://www.ozabc.com/it/534549.html