BezpečnosťSpravodajstvo

Hackerské útoky na Ukrajinu boli pravdepodobne koordinované a plánované, odhaľujú nové informácie

Hackerské útoky, ktorým čelila Ukrajina pred a po začatí invázie Ruskom, boli pravdepodobne nielen plánované dopredu, ale aj koordinované.

Analytici zo spoločnosti ESET krátko pred inváziou Ruska na Ukrajinu identifikovali hackerský útok, ktorý cielil na stovky zariadení naprieč krajinou. Tento útok odštartoval doslova pár hodín pred začatím vojenských operácií. Jeho cieľom bolo nasadenie malvéru HermeticWiper, ktorý pochádza z rodiny škodlivých súborov „wiper“, ktoré odstraňujú dáta zo zariadenia. Ako naznačili prvotné analýzy kódu, tak malvér bol vytvorený ešte 28. decembra minulého roka.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

V tom istom čase, ako hackeri započali útok, tak prišiel vzápätí ďalší, potvrdili medzičasom ukrajinské úrady. V tomto prípade išlo o útok typu DDoS a smeroval na veľké ukrajinské webové stránky. 24. februára ESET identifikoval ešte útok IsaacWiper a 25. februára hackeri vypustili jeho aktualizovanú verziu.

Útoky hackerov pozostávali najmä z 3 komponentov

Analytici v tlačovej správe píšu, že útoky hackerov pozostávali najmä z troch komponentov – HermeticWiper slúžil na vymazanie dát, červ HermeticWizard rozšíril malvér do lokálnej siete a ransomvér HermeticRansom slúžil pravdepodobne na odlákanie pozornosti.

„V súčasnosti preverujeme, či existujú prepojenia medzi malvérmi IsaacWiper a HermeticWiper. Je dôležité povedať, že IsaacWiper zasiahol ukrajinské vládne organizácie, ktoré neboli postihnuté malvérom HermeticWiper,“ uviedol Jean-Ian Boutin, vedúci výskumu hrozieb spoločnosti ESET.

Hackerské útoky na Ukrajinu boli pravdepodobne dlho plánované dopredu

Analytici zo spoločnosti ESET na základe analýzy zdrojových kódov škodlivých softvérov sa domnievajú, že napadnuté organizácie boli skompromitované už dlhšie pred zavedením wipera.

„Vyplýva to z niekoľkých zistení: najstarší časový odtlačok malvéru HermeticWiper pochádza z 28. decembra 2021 a k vydaniu digitálneho certifikátu došlo už 13. apríla 2021. Minimálne v jednom prípade došlo tiež k nasadeniu malvéru HermeticWiper prostredníctvom nastavenia domény, čo naznačuje, že útočníci mali už dopredu prístup k jednému zo serverov Active Directory, ktoré patrili obeti,“ vysvetľuje Boutin.

Analytici spoločnosti ďalej prezrádzajú, že malvér IsaacWiper identifikovali 24. februára. Ďalej dopĺňajú, že jeho najstarší časový odtlačok pochádzala z 19. októbra 2021.

 

Na mieru upravený červ, ktorý ESET pomenoval ako HermeticWizard, bol použitý na šírenie wipera HermeticWiper naprieč skompromitovanými sieťami. Pri druhom wiperi, IsaacWiper, použili na vniknutie do siete útočníci nástroj na vzdialený prístup RemCom a pravdepodobne aj Impacket.

Malvér HermeticWiper je schopný po sebe zamaskovať stopy. Robí to tak, že sa dokáže sám vymazať z disku a to prepísaním svojho súboru náhodnými dátami. S najväčšou pravdepodobnosťou ide o zámer znemožniť forenznú analýzu po kybernetickom incidente. V tom istom čase ako bol nasadený HermeticWiper, útočníci nasadili aj ransomvér HermeticRansom, pravdepodobne na odlákanie pozornosti od wipera HermeticWiper.

Iba deň po nasadení malvéru IsaacWiper, nasadili útočníci jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení. To môže naznačovať, že sa útočníkom nepodarilo vymazať obsah z niektorých zasiahnutých zariadení a chceli zistiť prečo.

V každom prípade, analytici v závere dodávajú, že útoky vyššie nie sú aktuálne schopní prepojiť s konkrétnym útočníkom. Hovoria, že vzorky identifikované v škodlivom kóde ktoré majú k dispozícii, na to aktuálne nepostačujú.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close