Pre i posle početka ruske invazije, Ukrajina napadnuta do sad neviđenim destruktivnim malverima

Vesti, 04.03.2022, 09:30 AM

Istraživači kompanije ESET otkrili su dva nova malvera koji su inficirali uređaje u Ukrajini uoči i tokom prvih dana ruske invazije.

Kako je ESET objavio na svom Twitter nalogu, prvi sajber napad počeo je nekoliko sati pre ruske vojne invazije, i nakon DDoS napada na važne ukrajinske veb sajtove koji su počeli ranije toga dana. U destruktivnim napadima koji su usledili posle DDoS napada korišćene su tri komponente: HermeticWiper za brisanje podataka, HermeticWizard za širenje na lokalnoj mreži i HermeticRansom koji je delovao kao lažni ransomware. Uzorci malvera do kojih je došao ESET ukazuju da su napadi planirani nekoliko meseci.

Kada je počela ruska invazija, započeo je drugi destruktivni napad na mrežu ukrajinske vlade, a malver koji je korišćen u tom napadu ESET je nazvao IsaacWiper. Istraživači kompanije ESET detaljno su opisali IsaacWiper.

Istraživači kažu da ni IsaacWiper ni HermeticWiper još uvek nisu dovedeni u vezu sa bilo kojom grupom, zbog nedostatka značajnih sličnosti koda sa drugim malverima. Takođe je još uvek nepoznato da li su ova dva malvera nekako povezana.

Ono što su istraživači ESET-a otkrili su detalji u IsaacWiperovom kodu koji ukazuju da je, iako se koristio samo u napadima od 24. februara, bio dostupan od oktobra.

Trenutno je nepoznato kako IsaacWiper inficira računare, ali istraživači kažu da je RemCom, alatka za daljinski pristup, primećena na mrežama u isto vreme kada su počeli napadi malverom IsaacWiper. Takođe je primećeno da se napadači kreću bočno po mrežama kako bi širili malver.

Bez obzira na to kako se malver širi, sumnja se da su napadači infiltrirali ciljne mreže neko vreme pre nego što je IsaacWiper isporučen.

„Istraživači ESET-a sa velikom sigurnošću procenjuju da su pogođene organizacije kompromitovane mnogo pre postavljanja brisača“, rekao je Žan-Ian Butin, prvi čovek ESET-ovog tima za istraživanja pretnji.

Malver je dizajniran da uništi mreže i fajlove, ali moguće je da oni koji stoje iza napada nisu pogodili sve svoje mete iz prvog pokušaja jer su napadači izbacili novu verziju IsaacWipera već 25. februara.

ESET smatra da bi razlog za ovo mogao biti taj što napadači nisu uspeli da uspešno obrišu neke od ciljanih uređaja pa su izvršili manje izmene u kodu malvera da bi razumeli šta se dogodilo.

U pokušaju da odbrani ukrajinske organizacije i mreže od sajber napada, ukrajinska vlada pozvala je hakere dobrovoljce da pomognu odbrani zemlje.

Agencije za sajber bezbednost širom sveta takođe su pozvale kompanije i institucije da zaštite svoje mreže od mogućih sajber napada povezanih sa invazijom na Ukrajinu.