Ukrayna, daha önce belgelenmemiş bir Golang tabanlı veri silecek olarak adlandırılan, Rusya’nın yeni bir siber saldırısına maruz kaldı. SwiftSlicer.
ESET, saldırıyı Rusya Federasyonu Silahlı Kuvvetleri (GRU) Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’ne bağlı Askeri Birim 74455’e bağlı bir ulus-devlet grubu olan Sandworm’a bağladı.
“Yürütüldükten sonra gölge kopyaları siler, tekrar tekrar %CSIDL_SYSTEM%drivers, %CSIDL_SYSTEM_DRIVE%WindowsNTDS ve diğer sistem dışı sürücülerde bulunan dosyaların üzerine yazar ve ardından bilgisayarı yeniden başlatır.” ifşa bir dizi tweet’te.
Üzerine yazma işlemleri, 4.096 bayt uzunluğundaki blokları doldurmak için rastgele oluşturulmuş bayt dizileri kullanılarak gerçekleştirilir. Slovak siber güvenlik şirketi, izinsiz girişin 25 Ocak 2023’te tespit edildiğini ekledi.
BlackEnergy, Electrum, Iridium, Iron Viking, TeleBots ve Voodoo Bear takma adlarıyla da takip edilen Sandworm, en az 2007’den beri dünya çapındaki kuruluşları hedef alan yıkıcı ve yıkıcı siber kampanyalar düzenleme geçmişine sahiptir.
Tehdit aktörünün karmaşıklığı, aşağıdakiler gibi çok çeşitli özel araçları içeren çok sayıda farklı öldürme zinciriyle kanıtlanır: BlackEnergy, GreyEnergy, Industroyer, NotPetya, Olimpik Destroyer, Exaramelve Cyclops Blink
Yalnızca 2022’de, Rusya’nın Ukrayna’yı askeri işgaliyle aynı zamana denk gelen Sandworm, Ukrayna’daki kritik altyapıya karşı WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige ve RansomBoggs’u serbest bıraktı.
Fortinet FortiGuard Labs araştırmacısı Geri Revey, “Düşündüğünüzde, bir çatışma sırasında silici kötü amaçlı yazılımın artması hiç de şaşırtıcı değil.” dedim bu hafta yayınlanan bir raporda. “Paraya çevrilmesi pek mümkün değil. Uygulanabilir tek kullanım durumu yıkım, sabotaj ve siber savaştır.”
SwiftSlicer’ın keşfi, Rus düşman topluluğu tarafından Ukrayna’da ortalığı kasıp kavurmak için tasarlanan saldırılarda silici kötü amaçlı yazılım varyantlarının tutarlı bir şekilde kullanıldığına işaret ediyor.
Gelişme aynı zamanda Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) Sandworm’u ulusal haber ajansı Ukrinform’a yönelik son zamanlarda büyük ölçüde başarısız olan bir siber saldırıyla ilişkilendirmesiyle geldi.
En geç 7 Aralık 2022’de gerçekleştirildiğinden şüphelenilen izinsiz giriş, CaddyWiper, ZeroWipe ve SilAwfulShred ve BidSwipe Windows, Linux ve FreeBSD sistemlerini hedefliyor.
CERT-UA, “Siber saldırının son aşamasının 17 Ocak 2023’te başlatıldığı tespit edildi” dedim bir danışmada. “Ancak, özellikle birkaç veri depolama sistemiyle ilgili olarak yalnızca kısmi bir başarı elde etti.”
Sandworm, sahip olduğu tek grup değil. gözler Ukrayna’da. APT29, COLDRIVER ve Gamaredon gibi diğer Rus devlet destekli aktörler, savaşın başlangıcından bu yana bir dizi Ukraynalı kuruluşu aktif olarak hedef aldı.
