Drošības uzņēmums ESET ir pamanījis jaunu kiberuzbrukumu, kas, šķiet, ir vērsts uz Ukrainu un paredzēts, lai pārrakstītu svarīgus Windows failus.
Par atklājumu uzņēmums ziņoja savā Twitter kontā 25. janvārī. Kibernozieguma ietvaros tika atklāta Go programmēšanas valodā rakstīta programma SwiftSlicer, kas spēj izdzēst svarīgus datus. Iespējams, ka uzbrukums saistīts ar Sandworm hakeru grupu.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
Sandworm, pazīstama arī kā Unit 74455, iespējams, ir Krievijas kibermilitāro hakeru grupa, kas strādā Ģenerālštāba Galvenajā izlūkošanas pārvaldē (GRU). Grupai tiek piedēvēti arī vairāki citi uzbrukumi Ukrainā, tostarp 2015. gadā notikušais uzbrukums elektrotīklam, lai gan šie apgalvojumi pašlaik nav pamatoti.
“Kad nonācis ierīcē, vīruss dzēš failu ēnu kopijas un pārraksta failus, kas atrodas %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS un citos nesistēmas diskos, un pēc tam pārstartē datoru,” ESET piebilda Twitter.
Uzbrukuma pamatā esošā programmēšanas valoda Go ir hekeru iecienīta tās daudzpusības dēļ, ziņo Bleeping Computer, un to likumīgu iemeslu dēļ izmanto vairāki leģitīmi uzņēmumi, tostarp Google, Twitter un PayPal.
Saskaņā ar Ukrainas Datorapdraudējumu reaģēšanas grupas datiem Sandworm ir bijis aizņemts, veicot vairākus citus uzbrukumus valstī, tostarp piecus datu dzēšanas uzbrukumus Ukrainas Nacionālajai ziņu aģentūrai – Ukrinform. Viens no jaunās aģentūras uzbrukumā konstatētajiem celmiem – CaddyWiper – ir novērots vairākos uzbrukumos Ukrainai, kas norāda uz saistību ar Sandworm.
