Cyberattack i Ukraina: HermeticWiper och Cyclops Blink skadlig programvara riktar sig mot datorer och deras data
Cybersäkerhetsexperter runt om i världen har identifierat skadlig programvara som stör Ukrainas infrastruktur och bevisar än en gång att kriget mellan Ukraina och Ryssland, som väcker rädsla för ett globalt cyberkrig, inte bara handlar om land- eller flygvägar.
Under de senaste timmarna har flera nya prover av skadlig programvara eller skadlig kod, inklusive Cyclops Blink och HermeticWiper, upptäckts. De har det gemensamt att de attackerar enheterna hos organisationer och infrastrukturer installerade i Ukraina, genom att exfiltrera och äventyra data från de datorer som de lyckas infoga sig på.
Cyclops Blink, botnätet som exfiltrerar data och blockerar brandväggar
Den första, Cyclops Blink, användes mot flera mål i Ukraina, både nätverk och enheter. Myndigheterna misstänker att Ryssland är en användare, men det kan mycket väl vara ett verk av proryska patrioter som agerar på egen hand. Ingen vet i detta skede. Bakom botnätet skulle vi hitta Sandworm-gruppen, känd för sina nära band med Kreml, som alltid har förnekat att ha ansvaret.
Denna information är känd tack vare transparensen hos det amerikanska företaget WatchGuard, som tillhandahåller säkerhetslösningar och vars enheter riktas mot denna skadliga programvara. Uppenbarligen är den här särskilt robust, eftersom den motstår vissa åtgärder som att stoppa och starta om de drabbade systemen, förutom att blockera brandväggar. Cyclops Blink skulle påverka 1 % av WatchGuards brandväggar, och inga andra märkesprodukter påverkas.
Cyclops Blink kan ladda upp filer till och från sin kommandoserver och kontrollera, samla in och exfiltrera enhetsinformation. En malwareinfektion betyder inte att en organisation är det primära målet, men dess datorer kan mycket väl användas för att utföra attacker mot andra senare. WatchGuard hävdar i alla fall att koppla bort och uppdatera alla berörda enheter, eftersom felet har uppdaterats för flera månader sedan.
HermeticWiper, fruktansvärd skadlig programvara som kan ta bort all data från datorer
På onsdagen upptäckte hotintelligence-gemenskapen ett nytt prov av HermeticWiper-skadlig programvara, särskilt upptäckt av ESET Research och Symantec. Skadlig programvara har en teknik för att radera data, utnyttjad genom missbruk av en men ändå godartad drivrutin, EaseUS. Hackare använder det för att komma åt fysiska diskar och korrupta data.
Skadlig programvara riktar sig direkt till Windows-enheter och manipulerar sedan MBR (master boot record) efter behag, denna lilla del av hårddisken som gör att datorn kan starta sitt operativsystem. Genom att manipulera den lyckas hackare besegra systemstarten. Allt tyder på att hackarna hade tillgång till nätverket innan de injicerade skadlig programvara, eftersom den kompilerades i december 2021 för första gången.
Ukraina har drabbats av tusentals datorattacker och potentiella intrång i flera månader. Olika officiella och särskilt statliga webbplatser har hackats, störts och/eller tagits offline sedan början av året. Under de senaste dagarna har DDoS-attacker (Distributed Denial of Service) lanserats i spader, vilket skadat Ukrainas institutioner och banksektor. NotPetya ransomware hade redan orsakat stor skada de senaste åren.
Landet är dock inte utan lösning och försöker stärka sitt onlineförsvar. En snabb cyberinterventionsgrupp, bestående av holländska, polska, kroatiska, rumänska och till och med estniska experter, är mobiliserad för att hjälpa till i detta avseende.
Om samma ämne:
Kommer eskaleringen av konflikten i Ukraina obönhörligen att orsaka ett cyberkrig?
Källor: WatchGuard , SentinelLaBS
