Ukrayna’yı hedef almış gibi görünen ve önemli Windows dosyalarının üzerine yazmak üzere tasarlanmış yeni bir siber saldırı, güvenlik firması ESET tarafından tespit edildi.
“25 Ocak’ta #ESETResearch, Ukrayna’da yeni bir siber saldırı keşfetti. Saldırganlar, Active Directory Grup İlkesi’ni kullanarak #SwiftSlicer adını verdiğimiz yeni bir siliciyi dağıttı. #SwiftSlicer silici, Go programlama dilinde yazılmıştır. Bu saldırıyı #Sandworm’a bağlıyoruz” Cıvıldamak (yeni sekmede açılır) firma tarafından okunmuştur.
Birim 74455 olarak da bilinen Sandworm’un, Genelkurmay Ana İstihbarat Müdürlüğü (GRU) için çalışan bir grup Rus siber askeri hacker olduğu iddia ediliyor. Grup ayrıca, Ukrayna’da elektrik şebekesine 2015 yılında yapılan bir saldırı da dahil olmak üzere bir dizi başka saldırıda da yer alıyor, ancak bu iddialar şu anda asılsız.
Sandworm SwiftSlicer siber saldırısı
ESET başka bir tweet’inde, “Bir kez çalıştırıldığında, gölge kopyaları siler, tekrar tekrar %CSIDL_SYSTEM%drivers, %CSIDL_SYSTEM_DRIVE%WindowsNTDS ve diğer sistem dışı sürücülerde bulunan dosyaların üzerine yazar ve ardından bilgisayarı yeniden başlatır.”
Saldırının temelini oluşturan programlama dili Go’nun çok yönlülüğü nedeniyle tehdit aktörleri tarafından değer gördüğü söyleniyor (aracılığıyla Uyku Bilgisayarı (yeni sekmede açılır)) ve Google, Twitter ve PayPal dahil olmak üzere bir dizi gerçek şirket tarafından meşru nedenlerle kullanılmaktadır.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibine göre Sandworm, Ukrayna Ulusal Haber Ajansı Ukrinform’a yönelik beş veri silme saldırısı da dahil olmak üzere ülkede bir dizi başka saldırı düzenlemekle meşgul.
Yeni ajans saldırısında bulunan bir tür olan CaddyWiper, Ukrayna’ya yapılan bir dizi saldırıda gözlemlendi ve bu da Sandstorm ile bir bağlantıya işaret ediyor.
Sandstorm gerçekten Rus ordusunun bir koluysa, o zaman çok yönlü savaşın çok sayıda Ukraynalı şirket ve vatandaşın hayatını kasıp kavurmaya devam ettiği açıktır.