PathWiper: Yeni Bir Tehdit
PathWiper, son zamanlarda Ukrayna’daki kritik altyapılara yönelik hedefli saldırılarda kullanılan bir malware türü olarak dikkat çekiyor. Bu tür bir veri silici malware, ülkedeki operasyonları kesintiye uğratmak amacıyla tasarlanmış ve aktarılmıştır. Saldırının yürütülmesinde yasal bir endpoint yönetim aracı kullanılmış olması, saldırganların önceden sistemde yetki elde etmiş olduğunu gösteriyor.
Cisco Talos araştırmacıları, tespit ettikleri bu saldırıyı, Rusya ile bağlantılı ileri kalıcı bir tehdit (APT) grubuna güçlü bir şekilde atfetmektedir. PathWiper, daha önce Sandworm tehdit grubu tarafından Ukrayna’da kullanılan HermeticWiper ile karşılaştırılmaktadır. İki malware türü de benzer işlevselliğe sahip olduğundan, PathWiper’ın HermeticWiper’ın bir evrimi olabileceği düşünülmektedir.
PathWiper’ın Yıkıcı Yetenekleri
PathWiper, hedef sistemlerde bir Windows batch dosyası aracılığıyla çalıştırılmaktadır. Bu dosya, zararlı bir VBScript (uacinstall.vbs) yükler ve bu script, ana yükü (sha256sum.exe) indirip yürütür. PathWiper’ın yürütülmesi, gerçek bir yönetim aracını andıran davranış ve isimlerle gerçekleştirildiğinden, tespiti zor hale gelmektedir.
HermeticWiper’dan farklı olarak, PathWiper sadece fiziksel sürücüleri listelemekle kalmaz; aynı zamanda sistemdeki tüm bağlı sürücüleri (yerel, ağ, çıkarılmış) programatik olarak tanımlar. Daha sonra, Windows API’lerini kullanarak hacimleri montajdan çıkarır ve onları bozulmaya hazırlamak için gerekli adımları atar. Her bir hacim için kritik NTFS yapılarını üzerini yazma amacı doğrultusunda iş parçacıkları oluşturur.
Hedef alınan sistem dosyaları arasında şunlar bulunmaktadır:
- MBR (Master Boot Record): Fiziksel bir diskin ilk sektörünü tutar; önyükleyici ve bölüm tablosunu içerir.
- $MFT (Master File Table): Tüm dosyaların ve dizinlerin yanı sıra bunların meta verilerini ve disk üzerindeki konumlarını kataloglayan temel NTFS sistem dosyasıdır.
- $LogFile: NTFS işlem günlüğü için kullanılır, dosya değişikliklerini izler ve bütünlük kontrolü ve kurtarma işlemlerine yardımcı olur.
- $Boot: Önyükleme sektörü ve dosya sistemi düzeni hakkında bilgi taşıyan dosyadır.
PathWiper, yukarıda bahsedilen ve başka beş kritik NTFS dosyasını rastgele byte’larla değiştirerek, etkilenen sistemleri tamamen işlevsiz hale getirir. Görülen saldırılar, şantaj veya herhangi bir finansal talep içermemekte; bu nedenle tek amacı yıkım ve operasyonel kesintidir.
Saldırıların Etkisi
Cisco Talos, bu tehdidi tespit etmeye yardımcı olmak için dosya hash’leri ve Snort kuralları yayınlamıştır. Bu önlemler, sürücülerin bozulmadan önce durdurulmasına olanak tanır. Veri silici malware’ler, savaşın başlamasından bu yana Ukrayna’ya yönelik saldırılarda güçlü bir araç haline gelmiştir. Rus tehdit aktörleri, bu tür malware’leri sık sık kullanarak ülkedeki kritik operasyonları kesintiye uğratmaktadır.
Ukrayna’daki bu tür saldırılar, DoubleZero, CaddyWiper, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate ve AcidRain gibi çeşitli wiper türlerini içermektedir. Her biri, belirli hedeflere yönelik yıkıcı etkiler oluşturarak ülkedeki altyapıyı hedef almaktadır.
Özellikle PathWiper, siber güvenlik alanında yeni bir tehdit oluşturmakta ve Ukrayna gibi ülkelerdeki altyapılara hasar vermek için kullanılan suçlayıcı bir araç haline gelmiştir. Bu tür tehditler, siber güvenlik uzmanları ve örgütlerinin daha dikkatli ve proaktif bir yaklaşım benimsemesini gerektirmektedir. Gerçeklenmesi muhtemel saldırılara karşı etkili savunma yöntemleri geliştirmek, kritik altyapının korunmasında büyük önem taşımaktadır.
