SwiftSlicer: Hackers προκαλούν ζημιά σε τομείς των Windows

1 year ago 80

Absenta Mia

30 Ιανουαρίου 2023, 13:05

Αναλυτές ασφαλείας ανακάλυψαν πρόσφατα ένα καταστροφικό κακόβουλο λογισμικό γνωστό ως SwiftSlicer, το οποίο έχει την ικανότητα να αντικαθιστά βασικά αρχεία που χρησιμοποιούνται από το λειτουργικό σύστημα των Windows.

Δείτε επίσης: Βορειοκορεάτες hackers έκλεψαν εκατομμύρια δολάρια σε crypto

SwiftSlicer

Πρόσφατα, η διαβόητη ομάδα hacking Sandworm – η οποία υπάγεται στη ρωσική GRU και αποτελεί μέρος της στρατιωτικής μονάδας 74455 της GTsST – εξαπέλυσε κυβερνοεπίθεση σε ουκρανικό στόχο όπου εξέθεσε το νέο κακόβουλο λογισμικό της. Η επίθεση αυτή αποδόθηκε στο Sandworm λόγω της ακρίβειας και της μυστικής εκτέλεσής της.

Η ESET, μια εταιρεία κυβερνοασφάλειας, αποκάλυψε πρόσφατα το κακόβουλο κακόβουλο λογισμικό SwiftSlicer που παρακολουθούσε τον κυβερνοχώρο κατά τη διάρκεια μιας επίθεσης στην Ουκρανία. Αν και υπάρχουν προς το παρόν περιορισμένες πληροφορίες σχετικά με αυτή την ιδιαίτερα καταστροφική απειλή, όλα δείχνουν ότι είναι εξαιρετικά επικίνδυνη.

Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik

SecNewsTV 1 Αυγούστου, 7:56 πμ

12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις

SecNewsTV 7 Ιουλίου, 10:27 μμ

Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin

SecNewsTV 18 Μαΐου, 1:06 μμ

Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις

SecNewsTV 3 Μαρτίου, 12:57 πμ

LIVE: GoldDigger credential detection & PinataHub platform

SecNewsTV 29 Ιανουαρίου, 1:24 πμ

LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news

SecNewsTV 1 Οκτωβρίου, 12:54 πμ

Παρά το γεγονός ότι ο συγκεκριμένος στόχος των δραστηριοτήτων της Sandworm δεν είναι ακόμη γνωστός, πρόσφατες πληροφορίες αποκάλυψαν μια επίθεση στο Ukrinform, το εθνικό πρακτορείο ειδήσεων της Ουκρανίας. Στις 25 Ιανουαρίου, η ESET εντόπισε μια κακόβουλη επίθεση στην οποία ο δράστης ανέπτυξε το κακόβουλο λογισμικό CaddyWiper. Αυτό το συγκεκριμένο καταστροφικό λογισμικό είχε παρατηρηθεί στο παρελθόν κατά τη διάρκεια άλλων επιθέσεων εναντίον ουκρανικών στόχων.

Σύμφωνα με την ESET, η Sandworm χρησιμοποίησε το Active Directory Group Policy για να αναπτύξει το SwiftSlicer σε όλο το σύστημα. Αυτή η οδηγία επιτρέπει στους διαχειριστές τομέων να ανεβάσουν τον πήχη των εντολών και των σεναρίων σε όλα τα δίκτυα των Windows. Οι ερευνητές της ESET αναφέρουν ότι το SwiftSlicer χρησιμοποιήθηκε για να εξαλείψει τα σκιώδη αντίγραφα και να αντικαταστήσει κρίσιμα αρχεία στον κατάλογο συστήματος των Windows, ιδιαίτερα τους οδηγούς καθώς και τη βάση δεδομένων του Active Directory.

Δείτε ακόμα: MFHS: Hackers έκλεψαν δεδομένα από 460.000 άτομα

Είναι προφανές ότι η στοχευμένη εστίαση του wiper στο φάκελο %CSIDL_SYSTEM_DRIVE%\Windows\NTDS επιδιώκει όχι μόνο να εξαλείψει αρχεία, αλλά και να διαλύσει και να διαταράξει ολόκληρους τομείς των Windows.

Windows

Με το SwiftSlicer, τα δεδομένα αντικαθίστανται χρησιμοποιώντας μπλοκ 4096 byte από τυχαία δημιουργημένα bytes. Μετά την εκτέλεση της διαγραφής δεδομένων, οι ερευνητές της ESET αναφέρουν ότι το κακόβουλο λογισμικό θα επανεκκινήσει τους υπολογιστές.

Η έρευνα διαπίστωσε ότι το SwiftSlicer της Sandworm δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Golang, η οποία συχνά επιλέγεται από κακόβουλους φορείς για την προσαρμοστικότητά της – επιτρέποντας στον κώδικα να μεταγλωττιστεί και να χρησιμοποιηθεί με οποιοδήποτε υλικό ή πλατφόρμα.

Μόλις πρόσφατα, αυτό το κακόβουλο λογισμικό συμπεριλήφθηκε στη βάση δεδομένων του Virus Total στις 26 Ιανουαρίου – ωστόσο το ποσοστό ανίχνευσής του είναι ήδη πάνω από 50% σε όλες τις μηχανές antivirus που δοκιμάστηκαν.

Μια προειδοποιητική έκθεση από την Ουκρανική Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών Υπολογιστών (CERT-UA) αποκάλυψε ότι το Sandworm είχε προσπαθήσει να χρησιμοποιήσει πέντε βοηθητικά προγράμματα καταστροφής δεδομένων στο δίκτυο του πρακτορείου ειδήσεων Ukrinform.:

  • CaddyWiper (Windows)
  • ZeroWipe (Windows)
  • SDelete (legitimate tool for Windows)
  • AwfulShred (Linux)
  • BidSwipe (FreeBSD)
Δείτε επίσης: NCSC: Αυξημένες επιθέσεις από Ρώσους και Ιρανούς hackers

Αφού ξεκίνησε έρευνα, η υπηρεσία ανακάλυψε ότι η SandWorm είχε διανείμει κακόβουλο λογισμικό σε υπολογιστές στο δίκτυο χρησιμοποιώντας την πολιτική ομάδας (GPO). Πρόκειται ουσιαστικά για ένα σύνολο κανονισμών που χρησιμοποιούνται από τους διαχειριστές προκειμένου να διαμορφώνουν εφαρμογές και λειτουργικά συστήματα, καθώς και να τροποποιούν τις ρυθμίσεις των χρηστών σε ένα περιβάλλον Active Directory. Είναι ενδιαφέρον ότι αυτή ήταν επίσης η ίδια μέθοδος που χρησιμοποιήθηκε για την εκτέλεση του SwiftSlicer.

Η Sandworm είναι μια ομάδα εγκλήματος στον κυβερνοχώρο με έδρα τη Ρωσία, η οποία δραστηριοποιείται εδώ και αρκετά χρόνια. Εντοπίστηκε για πρώτη φορά από ερευνητές ασφαλείας που παρατήρησαν ένα μοτίβο επιθέσεων εναντίον κυβερνητικών οντοτήτων της Ουκρανίας. Έκτοτε, η ομάδα έχει γίνει διαβόητη για τη χρήση εξελιγμένων τακτικών για τη στόχευση τόσο κυβερνητικών δικτύων όσο και ιδιωτικών εταιρειών σε όλο τον κόσμο.

Absenta Mia

Read Original