Büyük ölçekli bir siber saldırı, kara harekâtının başlamasından kısa bir süre önce Ukrayna’yı hedef aldı. Aylardır hazırlanmakta olan yeni bir kötü amaçlı yazılım, operasyonun önceden planlandığını doğrulandı.
HermeticWiper: Yeni Rus kötü amaçlı yazılımı
Ülkeye yönelik askeri saldırılarına paralel olarak Rusya, Ukrayna’ya karşı gerçek bir siber savaş yürütüyor. Yepyeni “Viper” kötü amaçlı yazılımın kullanımıyla kanıtlandığı gibi, ülke hibrit savaşını önceden hazırlamış görünüyor. Symantec ve ESET‘ten siber güvenlik araştırmacıları tarafından bildirildi ve HermeticWiper veya Trojan .Killdisk olarak adlandırıldı.
Bu seferki amaç, belirli hizmetleri veya dezenformasyonu geçici olarak kesintiye uğratmak değil, aslında verilerin yok edilmesidir. Viper, tek işlevi sabit diskin içeriğini silmek, verileri silmek ve işletim sistemine zarar vermek olan özel bir kötü amaçlı yazılım türüdür. Bu nedenle cihaz, tam bir yeniden kurulum olmadan artık başlayamayacaktır. Kötü amaçlı yazılım, özellikle finansal kurumları ve hükümet için çalışan şirketleri hedef alıyor. Ancak, sadece Ukrayna’daki hedefleri hedef almıyor. Letonya ve Litvanya’daki kuruluşlar da silecek kurbanı oldular.
Kuruluşların bilgisayar ağlarını hedef alan bir saldırı
HermeticWiper, yürütülebilir dosyası Hermetica Digital Ltd’ye verilen bir sertifika tarafından imzalanmış olduğu için bu şekilde adlandırılmıştır. Uzmanlar hala programı analiz etmektedir, ancak bir Windows hizmeti olarak yüklenen EaseUS Partition Master yazılımından sertifika imzalı bir sürücü kullandığını belirlemeyi başarmışlardır. . Kötü amaçlı yazılım daha sonra sabit diskteki dosyaları bozar ve bölüm tablosuna ve sabit diskin önyükleme alanı olan Ana Önyükleme Kaydı’na (MBR) zarar verir. Son adım, başlayamayacak olan makineyi yeniden başlatmaktır.
Saldırılardan en az birinde, hackerlar bireysel bilgisayarları hedef almadı. Kötü amaçlı yazılımı dağıtmak için doğrudan alan denetleyicisini kullandılar. ESET bir dizi tweet’te ” Hedeflenen kuruluşlardan birinde, “Viper” varsayılan GPO (etki alanı politikası) aracılığıyla yüklendi; bu, saldırganların muhtemelen Active Directory sunucusunun kontrolünü ele geçirdiği anlamına geliyor ” dedi.
Önceden hazırlanmış bir saldırı
Kötü amaçlı yazılım yazarları saldırılarını aylardır planlıyor gibi görünüyor. Kötü amaçlı yazılım örneklerinden birinin derleme tarihi 28 Aralık 2021. Ancak 22 Şubat Salı günü Litvanya’daki bir kuruluş HermeticWiper tarafından hedef alındı ve zemin çok önceden hazırlanmış gibi görünüyor. Ağlarına sızmanın ilk izleri 12 Kasım 2021’e kadar uzanıyor, ancak kötü amaçlı yazılım yüklenene kadar birkaç ay boyunca herhangi bir işlem yapılmadı.
Bu saldırının bir başka özelliği de, bir fidye yazılımının (veya fidye yazılımının) paralel olarak dağıtılmasıdır, şüphesiz bir saptırma oluşturmak ve sileceği daha iyi gizlemek için. Bu, data silme tipi kötü amaçlı yazılımları fidye yazılımlarının arkasına gizlemeye çalışan ve WhisperGate olarak adlandırılan Ocak ayındaki saldırının stratejisinin aynısıdır. Ancak bu yeni viper virüsü çok daha yıkıcı olacak şekilde tasarlandı.
