За останні два місяці кібератаки на українські державні органи, служби безпеки та оборони, а також на комерційні організації різко зросли.
До війни, пов’язані з росією хакери здебільшого атакували Україну, щоб посіяти страх чи паніку та підірвати довіру до уряду. Але експерти з безпеки попереджають що загрози можуть бути значно масштабнішими. Так, наприклад, нещодавня атака ледве не залишила мільйон українців без електрики та платіжної системи. Через вірус громадяни могли не отримати державну соціальну допомогу або втратити можливість здійснювати платежі в онлайн-банках.
З 24 лютого українські спеціалісти з безпеки виявили щонайменше вісім нових типів шкідливих програм, які хакери використовують для атаки на Україну: AcidRain, WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero та Industroyer2.
Дослідники ще не визначили всіх відповідальних осіб, але було встановлено, що багато атак було здійснено хакерськими групами, які спонсоруються з Кремля. Такими як, наприклад, Sandworm, яка також відома своїми атаками на європейські та американські інформаційні системи.
«Розуміння на ранньому етапі, на що здатні ці нові види зловмисного ПЗ і хто за ними стоїть, допомагають українським підприємствам і державним службам завчасно виявляти вразливості — повідомляє український спеціаліст з безпеки Віктор Жора.
За його словами, ті самі хакери, які атакують інформаційну інфраструктуру України, атакують і організації в ЄС, які допомагають українським біженцям.
У цій статті розглянемо детальніше останні версії зловмисного програмного забезпечення та з’ясуємо яким чином вони можуть заподіяти шкоду інфраструктурі підприємства.
WhisperGate і WhisperKill
Організатори: хакери, які пов’язані з російським урядом.
Сама атака: У ніч на 13 січня невідомі хакери намагалися замінити головні сторінки сайту (deface) понад 70 українських державних установ, повідомляє Служба безпеки України. Атака успішно спрацювала на 22 вебсайтах, ще 6 зазнали серйозних пошкоджень.
Зловмисники використали вразливості конструктора вебсайтів October CMS та облікових записів співробітників IT-фірми KitSoft, щоб отримати доступ до серверів, на яких розміщені сайти.
Раніше ми вже розбирали детально цю атаку. Ще тоді виникало багато питань до її нелогічності. Однак після 24 лютого все стало на свої місця. На жаль.
HermeticWiper
Організатори: за даними Recorded Future методологія та час атаки свідчать про зв’язок хакерів із російським урядом.
Деталі кібератаки: за кілька годин до вторгнення росії, українські державні установи та банки були уражені атаками типу denial-of-service (DDoS), які вивели деякі вебсайти в офлайн. Після цих атак на сотні машин було встановлено шкідливе програмне забезпечення для стирання даних під назвою HermeticWiper. За даними дослідників, атака могла готуватися майже два місяці та саботувати підприємства навіть за межами України — у Латвії та Литві.
Опис: це зловмисне програмне забезпечення мало назву «HermeticWiper» — згідно з цифровим сертифікатом компанії Hermetica Digital Ltd. Дослідники допускають, що зловмисники використали фальшиву компанію для видачі сертифіката, який дозволяє обійти вбудований захист браузера і Microsoft Defender SmartScreen. За даними Malwarebytes, цей вайпер (wiper) здивував своєю здатністю обійти функції безпеки Windows і отримати доступ до багатьох низькорівневих структур даних на дисках.
Як це працює: за даними SentinelLabs, це зловмисне ПЗ виконує маніпуляції з головним завантажувальним записом, що веде до збою завантаження. Достатньо запустити від імені адміністратора 32-бітний Windows файл, зі значком, що нагадує подарунок. В результаті виконання шкідливого програмного забезпечення дані на диску фрагментуються. Деякі програми перестають працювати, оскільки зловмисне програмне забезпечення замінює зміст випадкових файлів іншими даними. Після перезавантаження ОС Windows більше не працюватиме.
IsaacWiper
Організатори: ще не відомі.
Деталі кібератаки: IsaacWiper вразив щонайменше одну українську урядову організацію в день вторгнення росії.
Часова мітка «19 жовтня 2021 року» свідчить про те, що він був підготовлений за кілька місяців до початку повномасштабної війни, але можливо існував і раніше.
25 лютого хакери випустили нову версію IsaacWiper де були виправлені деякі помилки в журналах. Це може свідчити про те, що попередні атаки не були успішними. Виправлені рядки дозволили розробникам IsaacWiper зрозуміти, що відбувається на заражених хостах.
Опис: IsaacWiper — це руйнівне зловмисне програмне забезпечення, яке переписує данні на всіх фізичних та логічних дисках — повідомляє Recorded Future. Мета зловмисників — знищити дані в системах жертви та зробити їхні комп’ютери не придатними до завантажування, змусивши жертв перевстановити ОС. Код IsaacWiper, HermeticWiper і WhisperGate не збігається (спільних рис не має). За даними Malwarebytes, IsaacWiper, в порівнянні з HermeticWiper, досягає подібного результату іншими засобами і є набагато менш розвиненим, ніж HermeticWiper.
Як це працює: цей вайпер переписує файлову систему, надаючи іншу назву та інший номер кожному файлу. Така поведінка схожа на діяльність програм-вимагачів, але в цьому випадку немає ключа дешифрування. Після того, як дані були перезаписані, вони втрачені назавжди.
AcidRain
Організатори: наразі остаточної інформації немає. Однак, дослідники вважають, що цей вірус має спільні риси зі шкідливим програмним забезпеченням VPNFilter. У 2018 році ФБР пов’язувало його з російською хакерською групою Fancy Bear. Також, нещодавно Агентство національної безпеки США (NSA) та Агентство кібербезпеки та безпеки інфраструктури (CISA) пов’язали її з хакерською групою Sandworm.
Деталі кібератаки: кібератака на американського постачальника супутникового зв’язку Viasat порушила його роботу в Центральній та Східній Європі. 24 лютого, в день вторгнення росії в Україну, AcidRain вивела з ладу мережу KA-SAT компанії Viasat. Ця атака також відключила віддалене управління близько 5800 вітрових турбін Enercon по всій Німеччині, а також порушила роботу тисяч європейських організацій через проблеми із супутниковим зв’язком. Згідно з заявою Viasat, атака відбувалася у два етапи: спочатку DDoS-атака тимчасово вибила з ладу модеми, які фізично перебували в Україні. Потім модеми поступово зникли з сервісної системи Viasat.
Опис: 15 березня дослідники SentinelLabs виявили нову версію вайперу під назвою AcidRain після того, як його завантажив на VirusTotal користувач з Італії під нікнеймом «ukrop».
За даними SentinelLabs, AcidRain був розроблений для віддаленого стирання даних з вразливих модемів і маршрутизаторів. Цей вайпер може змінювати ключові дані у флеш-пам’яті модему, призводячи до того що він стає непрацездатний і потребує перепрошивки або заміни.
Як це працює: вайпер стирає системні та користувальницькі файли перед тим, як взагалі знищити всі дані. Після завершення процесу стирання пристрій перезавантажується і стає непрацездатним.
CaddyWiper
Організатори: ще не відомі.
Деталі кібератаки: 14 березня, це шкідливе ПЗ, яке знищує дані, вразило одразу декілька підприємств. Далі, 12 квітня, його знову використали під час атаки на українську енергокомпанію, повідомляє CERT-UA. В обох випадках воно було розгорнуте за допомогою об’єкту групової політики (GPO), що вказує на те, що зловмисники заздалегідь мали контроль над цільовою мережею.
Опис: це зловмисне програмне забезпечення стирає дані користувача та фрагментує інформацію на будь-яких дисках, підключених до ураженого пристрою. Код CaddyWiper не має жодної схожості з HermeticWiper або IsaacWiper. Ймовірно, ПЗ було зібране того ж дня, коли його було розгорнуто в цільових мережах. Його зразок був написаний на C++.
Як це працює: CaddyWiper перезаписує файли з нульовими байтами, що робить їх непридатними для відновлення. Шкідливий софт може бути запущений як з, так і без прав адміністратора. В обох випадках це завдає непоправної шкоди цільовій машині. CaddyWiper запущений без прав адміністратора робить файли не придатними до використання.
DoubleZero
Організатори: ще не відомі.
Деталі кібератаки: хакери запустили адресні фішингові атаки на українські підприємства, повідомляє CERT-UA. Українські дослідники кібербезпеки відстежили декілька ZIP-архівів, що містять шкідливе програмне забезпечення DoubleZero.
Опис: DoubleZero — це зловмисне програмне забезпечення на основі .NET, яке, згідно з інформацією групи розвідки загроз Cisco Talos, знищує файли та ключі реєстру в зараженій системі. Спочатку вірус знищує несистемні файли, а потім – системні. Перед вимкненням, система DoubleZero знищує такі гілки реєстру Windows, як: HKCU, HKU, HKLM, HKLM\BCD.
Як це працює: DoubleZero стирає файли двома способами: перезаписуючи їх блоками нулів по 4096 байтів (метод FileStream.Write) або за допомогою запитів API «NtFileOpen», «NtFsControlFile» (код: FSCTL_SET_ZERO_DATA).
Досі не зрозуміло, яким чином хакерам вдалось отримати доступ першочергово, але за даними eSentire Threat Intelligence, після цього вони використали наявні адміністративні привілеї аби обійти контроль облікових записів користувачів і власноруч запустити зловмисне програмне забезпечення. Зараз неможливо визначити, коли було створено DoubleZero, оскільки хакери змінили мітку часу, щоб заплутати кіберспеціалістів.
Industroyer2
Організатори: Sandworm (UAC-0082).
Деталі кібератаки: російські хакери з Головного управління Генерального штабу Збройних Сил РФ використали Industroyer2 для атаки на підстанції української енергетичної компанії в Вінницькій області. На додаток до Industroyer2, хакери Sandworm використовували вайпер під назвою CaddyWiper, а також поширені скрипти для операційних систем Linux і Solaris — ORCSHRED, SOLOSHRED і AWFULSHRED. Sandworm намагався повторити свою успішну атаку на київську електромережу 2016 року, коли минула версія Industroyer призвела до відключення електроенергії в деяких частинах міста. Українські чиновники стверджують, що атака була зірвана і жодних відключень електроенергії зафіксовано не було.
Опис: це шкідливе програмне забезпечення здатне взаємодіяти з Промисловими системами управління (ICS), яку, зазвичай використовують в системах електропостачання. Поки ще не відомо як зловмисники змогли перейти від ІТ-мережі до мережі ICS. Industroyer2 був створений 23 березня, але хакери проникли в мережі електропостачання наприкінці лютого, ще до вторгнення росії й, через деякий час, завантажили шкідливе програмне забезпечення Industroyer2, — повідомляє українська державна команда реагування на кібератаки CERT-UA.
Як це працює: Industroyer2 реалізує протокол IEC 60870-5-104 для зв’язку з промисловим обладнанням. Він може спілкуватися з кількома пристроями одночасно. Перед підключенням до цільових пристроїв Industroyer2 припиняє свою постійну роботу та перейменовує свій файл, щоб запобігти автоматичному перезапуску.
