Som ventet kom det omfattende cyberrelaterte forvarsler onsdag, i forkant av den russiske invasjonen av Ukraina, som for alvor startet i natt til torsdag. Først ble mange ukrainske nettsteder gjort utilgjengelige ved hjelp av nye distribuerte tjenestenektangrep. Like etter ble det oppdaget at en helt ny type «wiper»-skadevare, som trolig kun har som formål å slette data, ble brukt på mange ukrainske datamaskiner.
Dette skriver cybersikkerhetsselskapet Eset i en serie med twittermeldinger:
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET research (@ESETresearch) February 23, 2022
Også Symantec har gjort tilsvarende observasjoner.
New #wiper malware being used in attacks on #Ukraine
1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
— Threat Intelligence (@threatintel) February 23, 2022
Google innrømmer «pinlige» feil
Skapt for nesten to måneder siden
Eset skriver at selskapet via rapporter fra PC-er med selskapets sikkerhetsprogramvare viser at den spesielle skadevaren har blitt registrert på flere hundre datamaskiner i Ukraina.
Skadevaren ble første gang observert klokken 14.52 UTC. Et av de innsamlede eksemplarene av skadevaren viser at den ble kompilert, altså at kildekoden til programvaren ble gjort kjørbar, 28. desember 2021, noe Eset mener antyder at forberedelsene til angrepet har pågått i lang tid.
Skadevaren utnytter legitime drivere fra programvaren EaseUS Partition Master til å korrumpere dataene, før den får datamaskinen til å starte på nytt. Skadevaren avhenger dog ikke av at driverne er installert fra før. De blir installert av skadevaren dersom den mangler.
I alle fall ved én av de rammede virksomhetene har skadevaren blitt installert ved hjelp av det vanlige GPO-et (Group Policy Object), noe som tyder på at angriperne også har tatt kontroll over virksomhetens Active Directory.
HermeticWiper
Etter diskusjoner mellom kolleger i andre selskaper har den nye skadevaren fått navnet HermeticWiper. Bakgrunnen for navnet er at den er signert med et sertifikat som er utstedt til et selskap med navnet Hermetica Digital Ltd, som skal høre hjemme i Nikosia på Kypros.
En mer teknisk gjennomgang av skadevaren er tilgjengelig her.
Telias økonomi: Bedring, men fortsatt minusresultat i fjerde kvartal
Bare en forsmak?
Ifølge Associated Press har HermeticWiper også blitt observert hos i alle fall to selskaper som holder til i henholdsvis Latvia og Litauen, som begge er Nato-land. Selskapene skal ha jobbet tett med ukrainske myndigheter.
– Angriperne har gått etter disse målene uten å bry seg mye om hvor de er fysisk lokalisert, sier Vikram Thakur, teknisk direktør i Symantec Threat Intelligence, til Associated Press.
Til det samme nyhetsbyrået sier Chester Wisniewski, en forsker hos IT-sikkerhetsselskapet Sophos, at Russland trolig har planlagt cyberangrep i måneder, noe som gjør det vanskelig å si hvor mange etater og virksomheter som faktisk har blitt kompromittert med bakdører.
Wisniewski gjetter på at skadevaren som nå har blitt avdekket, bare er en melding fra Kreml om at de har kompromittert betydelige deler av den ukrainske infrastrukturen, og at det som så langt har blitt avdekket, bare er små smakebiter på hvor allestedsnærværende penetrasjonen egentlig er.
Videoen i tvitringen nedenfor er trolig av det samme missilet som omtales i bildeteksten i toppen av saken.
This looks like a Kh-31P air-launched anti-radar missile wreckage reportedly in Kyiv. https://t.co/NR8xDyymUc pic.twitter.com/CQ4UGq4Bnr
— Rob Lee (@RALee85) February 24, 2022
Forskere: – Disse skadevarene stjeler data fra Mac-maskiner og fanges ikke opp av antivirus
