Cyberatak na Ukrainę. Microsoft i ESET poznali prawdę o wirusie
Tuż przed wybuchem wojny Ukraina została zaatakowana przez złośliwe oprogramowanie. Badacze ESET odkryli już, jakie wirusy zostały wykorzystane i jaki cel mogli mieć atakujący. Wcześniej o sprawie informował Microsoft.
28 lutego Microsoft poinformował o odkryciu ataku na ukraińskie instytucje. Pierwszy atak na ukraińskie organizacje państwowe, które mają kluczowe znaczenie dla funkcjonowania kraju, przeprowadzono 23 lutego 2022 roku, na kilka godzin przed rozpoczęciem agresji Rosji na Ukrainę.
Specjaliści ESET, czyli przedsiębiorstwa zajmującego się cyberbezpieczeństwem, dokonali analizy przeprowadzanych cyberataków. Zdaniem ekspertów do pierwszego z nich wykorzystany został wirus HermeticWiper. Jak twierdzą specjaliści, ślady pozostawione przez wirusa wskazują na to, że atak był planowany miesiącami.
Dzień później, czyli 24 lutego, doszło do kolejnego ataku. Tym razem wykorzystano inne oprogramowanie. Mianowicie chodzi o IsaacWiper, który występował jako biblioteka DLL systemu Windows lub plik EXE. Nie posiadał on podpisu Athenticode. Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET zauważa, że ten atak również mógł być przygotowywany miesiącami, lecz nie ma jasności co do powiązania obu wydarzeń.
- IsaacWiper nie ma podobieństw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Biorąc pod uwagę oś czasu, możliwe jest, że oba są ze sobą powiązane, ale na ten moment nie zostało to potwierdzone - komentuje Kamil Sadkowski.
24 lutego zgłoszono także obecność oprogramowania HermeticRansom, które było rozpowszechniane w ukraińskiej sieci. Kamil Sadkowski uważa, że możliwe, iż HermeticRansom miał za zadanie ukryć działanie HermeticWiper.
W piątek 25 lutego pojawiła się nowa wersja IsaacWipera, która zapisywała efekty swojego działania do dziennika logowania. Zdaniem specjalisty ESET mogło to być spowodowane tym, że pierwotna wersja nie była w stanie usunąć danych z niektórych atakowanych urządzeń. Zapisy w dzienniku miały pomóc zrozumieć, dlaczego atak nie był skuteczny.
IsaacWiper - jak działa?
IsaacWiper zaczyna działanie od enumeracji dysków fizycznych, co ma pozwolić na uzyskanie ich identyfikatorów. Kolejnym krokiem jest wymazanie pierwszych 64 KB dysku przy użyciu generatora liczb pseudolosowych ISAAC. Później atak polega na wymazywaniu plików z kolejnych dysków. Wadą takich wirusów jak IsaacWiper jest to, że wymazuje pliki w pojedynczym wątku. Kamil Sadkowski zauważa, że w związku z tym działa on bardzo wolno.