Site icon Kiber.ba

Otkriven novi maliciozni softver NikoWiper koji je ciljao energetski sektor Ukrajine

Sandworm, povezan sa Rusijom, koristio je još jednu vrstu malicioznog softvera za brisanje pod nazivom NikoWiper kao dio napada koji se dogodio u oktobru 2022. godine, i koji je usmjeren na kompaniju energetskog sektora u Ukrajini.

„NikoWiper je zasnovan na SDelete-u, command line uslužni program iz Microsofta koji se koristi za bezbjedno brisanje datoteka“, otkrila je kompanija za kibernetičku bezbjednost ESET u svom najnovijem Izveštaju o aktivnostima APT-a koji je podjeljen sa The Hacker News.

Slovačka firma za kibernetičku bezbjednost saopštila je da su se napadi poklopili s raketnim napadima koje su orkestrovale ruske oružane snage usmjerene na ukrajinsku energetsku infrastrukturu, što ukazuje na preklapanje ciljeva.

Objava dolazi samo nekoliko dana nakon što je ESET pripisao Sandworm-u brisač podataka baziran na Golangu nazvan SwiftSlicer koji je 25. januara 2023. godine bio usmjeren protiv neimenovanog ukrajinskog entiteta.

Grupa napredne persistentne prijetnje (APT) povezana s ruskom stranom vojnom obavještajnom agencijom GRU također je umiješana u djelomično uspješan napad usmjeren na nacionalnu novinsku agenciju Ukrinform, postavljajući čak pet različitih brisača na kompromitovane mašine.

Tim za hitne slučajeve u Ukrajini (CERT-UA) identifikovao je pet varijanti brisača kao CaddyWiper, ZeroWipe, SDelete, AwfulShred i BidSwipe. Prva tri od njih su ciljala na Windows sisteme, dok su AwfulShred i BidSwipe imali za cilj Linux i FreeBSD sisteme.

Upotreba SDelete-a je primjetna, jer sugeriše da Sandworm eksperimentiše sa uslužnim programom kao sredstvom za brisanje u najmanje dva različita slučaja kako bi nanio neopozivu štetu ciljanim organizacijama u Ukrajini.

Međutim, ESET-ov istraživač malicioznog softvera Robert Lipovski rekao je za Hacker News da je “NikoWiper drugačiji maliciozni softver”.

Osim što se SDelete koristio kao oružje, Sandworm-ove nedavne kampanje su također koristile porodice ransomware-a po narudžbi, uključujući Prestige i RansomBoggs, da zaključaju podatke o žrtvama iza barijera za šifriranje bez ikakve opcije za njihovo vraćanje.

Napori su najnoviji pokazatelj da je upotreba destruktivnog malicioznog softvera za brisanje u porastu i da se sve više prihvaća kao cyber oružje izbora među ruskim hakerskim ekipama.

“Brisači se nisu široko koristili jer su ciljano oružje”, rekao je Dmitrij Bestužev iz BlackBerry-a u svojoj izjavi za The Hacker News. “Sandworm aktivno radi na razvoju brisača i ransomware porodica koje se eksplicitno koriste za Ukrajinu.”

Nije u pitanju samo Sandworm, jer su i druge ruske organizacije koje sponzoriše država, kao što su APT29, Callisto i Gamaredon, uložile paralelne napore da oštete ukrajinsku infrastrukturu putem phishing kampanja osmišljenih da olakšaju pristup backdoor-u i omoguće krađu kredencijala.

Prema Recorded Future, koji prati APT29 (aka Nobelium) pod imenom BlueBravo, APT je povezan s novom ugroženom infrastrukturom koja se vjerovatno koristi kao mamac za isporuku učitavača malicioznog softvera kodnog imena GraphicalNeutrino.

Učitavač, čija je glavna funkcija isporuka naknadnog malicioznog softvera, zloupotrebljava Notion-ov API za komunikaciju naredbe i kontrole (C2), kao i funkciju baze podataka platforme za pohranjivanje informacija o žrtvama i postavljanje korisnih podataka za preuzimanje.

“Svaka zemlja koja ima veze s ukrajinskom krizom, posebno one s ključnim geopolitičkim, ekonomskim ili vojnim odnosima s Rusijom ili Ukrajinom, izložene su povećanom riziku od napada”, navodi kompanija u tehničkom izvještaju objavljenom prošle sedmice.

Prelazak na Notion, legitimnu aplikaciju za bilježenje, naglašava APT29 “proširenu, ali kontinuiranu upotrebu” popularnih softverskih usluga kao što su Dropbox, Google Drive i Trello kako bi se spojio promet malicioznog softvera i zaobišlo otkrivanje.

Iako nije otkriven maliciozni softver druge faze, ESET koji je također pronašao uzorak malicioznog softvera u oktobru 2022. godine teoretizovao je da je bio “usmjeren na preuzimanje i izvršavanje Cobalt Strike-a”.

Nalazi se takođe približavaju Rusiji koja navodi da je bila meta “koordinisane agresije” 2022. godine i da se suočila sa “spoljnim kibernetičkim napadima bez presedana” od strane “obaveštajnih agencija, transnacionalnih IT korporacija i hakera”.

Kako rusko-ukrajinski rat zvanično ulazi u svoj dvanaesti mjesec, ostaje da se vidi kako će se sukob dalje razvijati u sajber sferi.

“Tokom protekle godine vidjeli smo talase povećane aktivnosti, kao što je u proljeće nakon invazije, u jesen i mirnijim mjesecima tokom ljeta, ali sveukupno je postojao gotovo konstantan tok napada” rekao je Lipovski. “Dakle, jedna stvar u koju možemo biti sigurni je da ćemo vidjeti više sajber napada.”

Izvor: The Hacker News

Exit mobile version