烏克蘭新聞機(jī)構(gòu)遭俄軍事黑客組織攻擊

發(fā)布時(shí)間 2023-01-27

截至 2023 年 1 月 27 日,烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT-UA) 在該國(guó)國(guó)家新聞機(jī)構(gòu) (Ukrinform) 的網(wǎng)絡(luò)上發(fā)現(xiàn)了五種不同的數(shù)據(jù)擦除惡意軟件組合,其功能旨在破壞信息的完整性和可用性(寫入零字節(jié)/任意數(shù)據(jù)的文件/磁盤及其隨后的刪除)。


在針對(duì) Ukrinform 的攻擊中部署的破壞性惡意軟件列表包括 CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux) 和 BidSwipe (FreeBSD)。


攻擊者使用 Windows 組策略 (GPO) 啟動(dòng)了 CaddyWiper 惡意軟件,由此可表明他們事先已經(jīng)破壞了目標(biāo)的網(wǎng)絡(luò)。正如 CERT-UA 在調(diào)查期間發(fā)現(xiàn)的那樣,攻擊者在 12 月 7 日左右獲得了對(duì) Ukrinform 網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限,并等待了一個(gè)多月才釋放惡意軟件。


然而,他們?cè)噲D清除新聞機(jī)構(gòu)系統(tǒng)中所有數(shù)據(jù)的嘗試失敗了。擦除器僅成功銷毀了“幾個(gè)數(shù)據(jù)存儲(chǔ)系統(tǒng)”上的文件,這并未影響 Ukrinform 的運(yùn)營(yíng)。CERT-UA 強(qiáng)調(diào)網(wǎng)絡(luò)攻擊只是部分成功,特別是在有限數(shù)量的數(shù)據(jù)存儲(chǔ)系統(tǒng)方面。


與俄羅斯沙蟲軍事黑客有關(guān)的網(wǎng)絡(luò)攻擊


CERT-UA 上周將此次攻擊與 Sandworm 威脅組織聯(lián)系起來(lái),該組織是俄羅斯主要情報(bào)局 (GRU) 74455 軍事部隊(duì)的黑客組織,Sandworm 曾在4 月份針對(duì)一家大型烏克蘭能源供應(yīng)商的另一次失敗攻擊中使用了 CaddyWiper 數(shù)據(jù)擦除器。


在那次攻擊中,俄羅斯黑客使用了類似的策略,部署 CaddyWiper 來(lái)清除 Industroyer ICS 惡意軟件留下的痕跡,以及其他三個(gè)為 Linux 和 Solaris 系統(tǒng)設(shè)計(jì)的擦除器,并被跟蹤為 Orcshred、Soloshred 和 Awfulshred。


自 2022 年 2 月俄烏戰(zhàn)爭(zhēng)以來(lái),除了 CaddyWiper 之外,烏克蘭目標(biāo)網(wǎng)絡(luò)上還部署了多種數(shù)據(jù)擦除惡意軟件,包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate和AcidRain 等。


此外,微軟和斯洛伐克軟件公司 ESET 也表示最近針對(duì)烏克蘭的勒索軟件攻擊與 Sandworm 黑客組織有關(guān)。