Україна стала ціллю руйнівних атак до та під час російського вторгнення

Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення двох нових сімейств шкідливих програм для знищення інформації, націлених на українські організації. Перша кібератака розпочалася за кілька годин до вторгнення російських військ в Україну, а також після DDoS-атак на українські сайти уряду, міністерств, банків та багато інших критично важливих структур на початку того ж дня.

Під час цих руйнівних атак зловмисники використовували щонайменше три компоненти:

  • HermeticWiper для знищення інформації,
  • HermeticWizard для поширення в локальній мережі,
  • приманка-вимагач HermeticRansom.

Елементи шкідливого програмного забезпечення вказують на те, що атаки планувалися протягом кількох місяців.

Після початку російського вторгнення в Україну почалася друга руйнівна атака на українську урядову мережу з використанням програми IsaacWiper для знищення інформації.

«Щодо IsaacWiper ми зараз аналізуємо його зв’язки з HermeticWiper. Важливо відзначити, що цю шкідливу програму було зафіксовано в мережі української державної організації, яка не постраждала від HermeticWiper», ― розповідає Жан-Ян Бутен, керівник дослідницької лабораторії компанії ESET.

Дослідники ESET з високою впевненістю зазначають, що постраждалі організації були скомпрометовані задовго до розгортання загрози для знищення інформації. «Це ґрунтується на кількох фактах: найстаріша позначка часу PE компіляції HermeticWiper – 28 грудня 2021 року, а дата видачі сертифіката підпису коду – 13 квітня 2021 року. Крім цього, розгортання HermeticWiper через політику домену за замовчуванням принаймні в одному випадку свідчить про те, що зловмисники мали попередній доступ до одного із серверів Active Directory цієї жертви», ― зазначає Жан-Ян Бутен.

Активність зловмисників

За даними телеметрії ESET, шкідлива програма IsaacWiper була зафіксована 24 лютого 2022 року. Найстаріша позначка часу компіляції PE датується 19 жовтня 2021 року. Це означає, що якби його позначка часу компіляції PE не була змінена, IsaacWiper міг використовуватися під час попередніх операцій місяцями раніше.

Під час дослідження HermeticWiper спеціалісти ESET виявили елементи переміщення всередині організацій, які були цілями атаки, а також те, що зловмисники, ймовірно, отримали контроль над сервером Active Directory. Спеціальний черв’як HermeticWizard використовувався для поширення програми для знищення інформації у скомпрометованих мережах. У випадку з шкідливою програмою IsaacWiper зловмисники використовували інструмент віддаленого доступу RemCom, а також, можливо, Imppacket для переміщення всередині мережі.

Крім цього, HermeticWiper видаляє дані про себе з диска, перезаписуючи власний файл випадковими байтами. Цей метод, ймовірно, спрямований на запобігання аналізу шкідливої програми після інциденту. Програма-вимагач HermeticRansom, яка використовувалась як приманка, була розгорнута одночасно з HermeticWiper для приховування дій програми для знищення інформації.

Через день після розгортання IsaacWiper кіберзлочинці випустили нову версію з журналами налагодження. Це може свідчити про те, що зловмисники не змогли знищити дані на деяких робочих станціях та додали повідомлення журналу, щоб зрозуміти, що відбувається.

Дослідникам ESET поки не вдалось пов’язати ці атаки з будь-якими відомими загрозами через відсутність значної подібності коду з іншими зразками шкідливих програм.

Варто зазначити, що термін «Hermetica» походить від Hermetica Digital Ltd, назви кіпрської компанії, якій було видано сертифікат підпису коду. Відповідно до даних Reuters, цей сертифікат не був викрадений у Hermetica Digital. Натомість, ймовірно, зловмисники видавали себе за кіпрську компанію для отримання сертифіката від DigiCert. Після отримання цієї інформації дослідники ESET надіслали запит до компанії-емітента DigiCert для негайного скасування сертифіката. Завдяки цьому 24 лютого сертифікат був відкликаний.

У зв’язку з небезпекою інших атак на українських користувачів спеціалісти ESET сьогодні як ніколи настійно рекомендують дотримуватись основних правил кібербезпеки, а саме – використовувати надійні рішення, які здатні забезпечити багаторівневий захист корпоративних мереж, та системи виявлення і реагування, які допоможуть виявити кібератаку на початковій стадії.

Зокрема користувачам продуктів ESET рекомендується увімкнути такі функції, як Розширений сканер пам’яті, Захист від експлойтів та програм-вимагачів, налаштувати правила HIPS та брандмауера та завжди використовувати актуальні версії усіх програм та операційних систем на пристроях.

Більш детальна інформація про атаки доступна за посиланням.

У той час коли Україна сміливо і невтомно протистоїть ворогу, спеціалісти служби технічної підтримки ESET в Україні продовжують надавати цілодобову допомогу користувачам за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.