Технологии
Софья Сажнева

HermeticWiper: что известно о кибератаке с использованием вредоносного ПО, которая предваряла ввод войск на Украину

Накануне объявления Путина «легли» украинские госсайты, а компьютеры оказались заражены удаляющей данные программой. Возможно, это первый виток кибервойны — ранее русских хакеров обвиняли в атаке на энергосистемы.

The Recorder 

23 февраля в ходе DDOS-атак хакеры пытались нарушить нормальный трафик целевого сервера правительственных сайтов Украины, перегружая его запросами. Под ударом оказались порталы министерств иностранных дел, обороны и внутренних дел, а также службы безопасности и кабинета министров страны. Позднее глава Минцифры Украины Михаил Федоров заявил, что еще одна серия DDOS-атак ударила по кредитным учреждениям.

Через несколько часов после начала атаки Путин объявил о вводе войск на территорию Украины.

В то время как веб-сайты всё ещё имели дело с DDOS-атаками, компания по кибербезопасности ESET сообщила, что прошлой ночью в Украине обнаружили новое вредоносное ПО, стирающее данные, которое, по её мнению, «устанавливалось на сотнях машин в стране». Его назвали HermeticWiper — по имени подлинного сертификата подписи кода, выданный кипрской компании Hermetica Digital Ltd., который используется в ПО.

Откуда взялся HermeticWiper?

  • Очиститель данных обнаружили вечером в среду. Между тем метаданные показывают, что HermeticWiper скомпилировали 28 декабря 2021 года. Это позволяет предположить, что атака могла быть в разработке в течение некоторого времени.
  • По словам исследователя безопасности MalwareHunterTeam, вредоносное ПО, похоже, было окончательно скомпилировано всего за пять часов до того, как начались атаки. Это позволяет предположить, что его код и операционная инфраструктура, скорее всего, были настроены и готовы к работе заранее.

Как работает очиститель данных?

  • HermeticWiper иногда развертывается с помощью групповых политик Windows (набора правил или настроек, в соответствии с которыми производится настройка рабочей среды приёма/передачи), что позволяет предположить, что злоумышленники могут иметь полный контроль над некоторыми внутренними сетями своей цели.
  • После развёртывания очиститель запускает версию программного обеспечения Ease US Partition Master, утилиты для создания разделов диска, которую он использует для повреждения локальных данных, а затем перезагружает компьютер.
  • HermeticaWiper не только уничтожает локальные данные, но и повреждает раздел главной загрузочной записи (MBR) жесткого диска, что препятствует загрузке операционной системы компьютера после принудительной загрузки.
  • При этом HermeticaWiper может быть неуязвимы для антивирусов — всё потому, что имеет подлинный сертификат. К слову, подделать или украсть такой сертификат невозможно, что также является признаком «сложного и целенаправленного» оператора атаки.

Это уже второй вайпер, атаковавший украинские веб-сайты за этот год

В середине января в Украине сотни компьютеров оказались заражены WhisperGate — подобным HermeticaWiper очистителем, который маскировался под программу-вымогателя. Точно так же вчерашняя атака с очисткой данных сопровождалась серией DDoS-атак.

Российских хакеров подозревали в атаках на Украину и раньше. В декабре 2015 года вредоносное ПО заразило сети промышленных систем, что вызвало перебои в подаче электроэнергии в Ивано-Франковской области — около 700 тысяч домов остались без электричества примерно на шесть часов.

Похожее случилось и в декабре 2016 года: ПО под названием CrashOverride атаковало энергосистему Украины. По разным оценкам, до одной пятой части энергосистемы Киева была отключена примерно на час.

В 2020 году официальные лица США обвинили шестерых российских офицеров ГРУ в развёртывании программы-вымогателя NotPetya, которая затронула компьютерные сети по всему миру, нацелившись на больницы и медицинские учреждения в США, и нанесла ущерб более чем в 1 миллиард долларов.

NotPetya также использовался против украинских правительственных министерств, банков и энергетических компаний. Министерство юстиции США назвало его «одним из самых разрушительных вредоносных программ в мире на сегодняшний день».

Еще одна спонсируемая Россией атака, начавшаяся еще в январе 2021 года, была нацелена на серверы Microsoft Exchange. Она предоставила хакерам доступ к учетным записям электронной почты и связанным с ними сетям по всему миру, в том числе в Украине, США и Австралии.

#кибератаки #новости #войнасукраиной