Исследование ESET: Украина подверглась деструктивным атакам до и во время российской спецоперации с помощью HermeticWiper и IsaacWiper

- 23 февраля деструктивная кампания с использованием HermeticWiper (вместе с HermeticWizard и HermeticRansom) была направлена ​​против нескольких украинских организаций. Эта кибератака предшествовала началу российской военной спецоперации в Украине на несколько часов.
- HermeticWiper стирает себя с диска, перезаписывая свой файл случайными байтами. Эта антикриминалистическая мера, вероятно, предназначена для предотвращения анализа стеклоочистителя в анализе после инцидента.  
- HermeticWiper распространяется внутри скомпрометированных локальных сетей специальным червем, который мы назвали HermeticWizard.
- 24 февраля началась вторая деструктивная атака на украинскую государственную сеть с использованием вайпера ESET под названием IsaacWiper.
- 25 февраля злоумышленники сбросили новую версию IsaacWiper с журналами отладки, что может указывать на то, что им не удалось стереть некоторые из целевых машин.
- Артефакты вредоносного ПО позволяют предположить, что атаки планировались в течение нескольких месяцев.
- ESET Research пока не удалось связать эти атаки с известным злоумышленником.

ESET обнаружили два новых семейства вредоносного ПО Wiper, нацеленных на украинские организации. По данным ESET Research, первая кибератака началась за несколько часов до российского военного вторжения.в своем аккаунте в Твиттере, а также после распределенных атак типа «отказ в обслуживании» (DDoS) против крупных украинских веб-сайтов ранее в тот же день. В этих деструктивных атаках использовались как минимум три компонента: HermeticWiper для уничтожения данных, HermeticWizard для распространения в локальной сети и HermeticRansom, действующий как программа-вымогатель-приманка. Артефакты вредоносного ПО позволяют предположить, что атаки планировались в течение нескольких месяцев. Когда началось российское вторжение, началась вторая разрушительная атака на украинскую правительственную сеть с использованием вайпера, который ESET Research назвал IsaacWiper.

«Что касается IsaacWiper, то в настоящее время мы оцениваем его связи, если таковые имеются, с HermeticWiper. Важно отметить, что это было замечено в украинской правительственной организации, которая не пострадала от HermeticWiper», — говорит руководитель отдела исследования угроз ESET Жан-Иан Бутен.

Исследователи ESET с высокой степенью уверенности считают, что затронутые организации были скомпрометированы задолго до развертывания вайпера. «Это основано на нескольких фактах: метках времени компиляции HermeticWiper PE, самая старая из которых — 28 декабря 2021 года; дата выдачи сертификата кодовой подписи 13 апреля 2021 г.; и развертывание HermeticWiper с помощью политики домена по умолчанию по крайней мере в одном экземпляре, что позволяет предположить, что злоумышленники имели предварительный доступ к одному из серверов Active Directory этой жертвы», — говорит Бутин.

IsaacWiper появился в телеметрии ESET 24 февраля. Самая старая найденная метка времени компиляции PE датирована 19 октября 2021 года, а это означает, что если бы метка времени компиляции PE не была изменена, IsaacWiper мог бы использоваться в предыдущих операциях несколькими месяцами ранее.
В случае с HermeticWiper компания ESET обнаружила артефакты бокового перемещения внутри целевых организаций и то, что злоумышленники, вероятно, получили контроль над сервером Active Directory. Специальный червь, названный исследователями ESET HermeticWizard, использовался для распространения вайпера по скомпрометированным сетям. Для второго вайпера — IsaacWiper — злоумышленники использовали RemCom, средство удаленного доступа, и, возможно, Impacket для перемещения внутри сети.
Более того, HermeticWiper стирает себя с диска, перезаписывая свой файл случайными байтами. Эта антикриминалистическая мера, вероятно, предназначена для предотвращения анализа стеклоочистителя в анализе после инцидента. Вымогатель-приманка HermeticRansom был развернут одновременно с HermeticWiper, возможно, для того, чтобы скрыть действия вайпера.
Буквально через день после развертывания IsaacWiper злоумышленники сбросили новую версию с журналами отладки. Это может указывать на то, что злоумышленники не смогли стереть некоторые из целевых машин и добавили сообщения журнала, чтобы понять, что происходит.
ESET Research пока не удалось связать эти атаки с известным злоумышленником из-за отсутствия какого-либо значительного сходства кода с другими образцами в коллекции вредоносных программ ESET.
Термин «Герметик» происходит от Hermetica Digital Ltd, кипрской компании, которой был выдан сертификат подписи кода. Согласно сообщению Reuters , похоже, что этот сертификат не был украден у Hermetica Digital. Вместо этого вполне вероятно, что злоумышленники выдавали себя за кипрскую компанию, чтобы получить этот сертификат от DigiCert. ESET Research обратилась к компании DigiCert, выпустившей сертификат, с просьбой немедленно отозвать сертификат.
Для получения дополнительной технической информации прочитайте сообщение в блоге WeLiveSecurity и подпишитесь на ESET Research в Twitter , чтобы быть в курсе последних новостей ESET Research.