W ubiegłym tygodniu badacze ESET odkryli kilka rodzin złośliwego oprogramowania atakującego ukraińskie rządowe serwisy internetowe oraz sieć rządową. Obecnie eksperci informują o pojawieniu się jego nowych wersji oraz komponentu, który rozprzestrzenia w sieciach lokalnych pierwotne wersje oprogramowania użytego do ataku cybernetycznego poprzedzającego inwazję wojskową na Ukrainę.
Kalendarium działań cybernetycznych przeciwko Ukrainie
23 lutego 2022 r. przeprowadzony został cyberatak z wykorzystaniem złośliwego oprogramowania HermeticWiper, który uszkadza dane na dysku zainfekowanego komputera. Atak był wymierzony w ukraińskie organizacje państwowe, kluczowe z punktu funkcjonowania kraju. Ten cyberatak o kilka godzin poprzedził rozpoczęcie inwazji sił Federacji Rosyjskiej na Ukrainę. Początkowe wektory ataku różniły się w zależności od organizacji. Potwierdzony został jeden przypadek instalacji HermeticWipera poprzez GPO (pozwalające zainstalować dowolne oprogramowanie zdalnie). Ślady dotyczące złośliwego oprogramowania Wiper sugerują, że atak ten był planowany od kilku miesięcy.
Nowa wersja oprogramowania wykorzystywanego przez napastników
– 24 lutego 2022 rozpoczął się drugi atak na ukraińską sieć rządową, tym razem przy użyciu IsaacWiper. IsaacWiper występował jako biblioteka DLL systemu Windows lub plik wykonywalny EXE i nie posiadał podpisu Authenticode (weryfikującego autentyczność wydawcy aplikacji). W pliku zagrożenia odnaleźliśmy dane, które wskazują, że atak mógł być planowany od kilku miesięcy – mówi Kamil Sadkowki, starszy specjalista ds. cyberbezpieczeństwa w ESET. – IsaacWiper nie ma podobieństw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Biorąc pod uwagę oś czasu, możliwe jest, że oba są ze sobą powiązane, ale na ten moment nie zostało to potwierdzone.
Badacze ESET zaobserwowali również oprogramowanie ransomware, nazwane HermeticRansom, napisane w języku programowania Go i rozpowszechniane w tym samym czasie w ukraińskiej sieci. HermeticRansom został po raz pierwszy zgłoszony we wczesnych godzinach 24 lutego 2022 UTC na Twitterze.
– Nasze narzędzia telemetryczne pokazują znacznie mniejszą intensywność jego rozprzestrzeniania w porównaniu z HermeticWiper. W jednym analizowanym przypadku HermeticRansom oraz HermeticWiper zostały odnalezione na tej samej maszynie, a ich czasy instalacji mogą sugerować, że celem HermeticRansom było ukrycie działań realizowanych z wykorzystaniem tego drugiego – ocenia ekspert ESET.
