„PathWiper“ kenkėjiška programa taikosi į Ukrainos skaitmeninį stuburą
Table of Contents
Dar viena skaitmeninė grėsmė iškilo
Dar viena aptikta kenkėjiška programa, pavadinta „PathWiper“ , buvo identifikuota kibernetinės atakos prieš ypatingos svarbos infrastruktūrą Ukrainoje metu. Saugumo tyrėjai atskleidė, kad ši žalinga programinė įranga buvo dislokuota per teisėtą galinių taškų administravimo platformą, o tai rodo, kad užpuolikai turėjo visišką sistemos valdymo konsolės kontrolę. Toks prieigos lygis leido sklandžiai ir plačiai diegti kenkėjišką programą keliuose įrenginiuose tiksliniame tinkle.
Kas yra PathWiper?
„PathWiper“ yra „valytuvo“ kenkėjiška programa – kenkėjiškos programinės įrangos klasė, skirta negrįžtamai sunaikinti duomenis užkrėstose sistemose. Paleidus „PathWiper“, ji nuskaito visus prijungtus sistemos saugojimo įrenginius, įskaitant fizinius diskus, bendrinamus ir nebendrinamus tinklo tomus ir išimamas laikmenas. Tada ji inicijuoja kelias gijas, kad vienu metu atakuotų kiekvieną aptiktą tomą, pakeisdama duomenis atsitiktinai sugeneruotais baitais, todėl duomenys tampa visam laikui neatkuriami.
Pažangi sunaikinimo taktika
Skirtingai nuo įprastos kenkėjiškos programos, kuria siekiama pavogti informaciją arba laikyti sistemas įkaitais, „PathWiper“ yra grynai destruktyvi. Ji programiškai identifikuoja visus saugojimo kelius ir tiesiogiai taikosi į svarbius failų sistemos komponentus, tokius kaip pagrindinis įkrovos įrašas (MBR) ir pagrindiniai NTFS artefaktai, tokie kaip $MFT, $LogFile ir $Bitmap. Prieš perrašydama, ji bando atjungti tomą, kad sunaikinimas būtų švarus ir visiškas. Toks tikslinis metodas gerokai apsunkina atkūrimo pastangas.
Patyrusio priešininko pėdsakai
„PathWiper“ taktika ir kodavimo stilius labai primena anksčiau identifikuotos kenkėjiškos programos, susijusios su Rusijos remiamomis kibernetinėmis operacijomis, taktiką ir kodą. Ekspertai atkreipia dėmesį į panašumus su „HermeticWiper“ – 2022 m. sukurta kenkėjiška programa, taip pat naudota prieš Ukrainos sistemas. Tačiau, skirtingai nei „HermeticWiper“, kuri naudojo paprastesnį diskų paieškos ir sugadinimo metodą, „PathWiper“ atlieka tikslesnius nuskaitymus ir naudoja sudėtingesnę sistemą diskų tapatybei patvirtinti prieš pradedant naikinti.
Kodėl tai svarbu
„PathWiper“ atsiradimas pabrėžia augančią kibernetinio karo tendenciją: naudojami griaunantys įrankiai, skirti ne šnipinėjimui, o operaciniam paralyžiui sukelti. Ukrainai, kurios ypatingos svarbos infrastruktūra jau ir taip patiria įtampą dėl užsitęsusio konflikto, tokios atakos kelia didelę grėsmę esminių paslaugų stabilumui ir tęstinumui. Kenkėjiškos programos gebėjimas chirurginiu tikslumu išvalyti sistemas kelia nerimą dėl besikeičiančio skaitmeninių grėsmių nacionalinei infrastruktūrai pobūdžio.
Pasekmės už Ukrainos ribų
Nors šis incidentas įvyko Ukrainoje, atakos metu naudoti metodai atskleidžia pažeidžiamumus, kuriais galėtų būti pasinaudota kitose šalyse ir sektoriuose. Legalaus valdymo įrankio naudojimas kenkėjiškai programai diegti pabrėžia platesnę problemą: užpuolikams gavus prieigą prie administravimo įrankių, net patikimos platformos gali tapti didelio masto sabotažo vektoriais. Tai kelia neatidėliotinų klausimų dėl galinių taškų saugumo, prieigos kontrolės ir nuolatinio stebėjimo poreikio kritinėse sistemose.
Žvilgsnis į kibernetinių grėsmių ateitį
Augantis tokių kenkėjiškų programų kaip „PathWiper“ sudėtingumas rodo kibernetinio saugumo kraštovaizdžio pokytį. Užuot veikusios nepastebimai, šios priemonės skirtos daryti greitą ir negrįžtamą poveikį. Ši ataka rodo, kad net ir užsitęsusio konflikto, tokio kaip Ukrainoje, metu kibernetinis karas toliau vystosi, o priešininkai naudoja vis tobulesnius ginklus, kad sutrikdytų ir padarytų didelę žalą.
Esmė
Visoms organizacijoms visame pasaulyje „PathWiper“ atradimas yra įspėjimas, kad reikia sustiprinti gynybos priemones. Tai apima griežtesnę administratoriaus prieigos kontrolę, reguliarius galinių taškų vientisumo patikrinimus ir ankstyvojo aptikimo sistemų, gebančių atpažinti neįprastą elgesį, diegimą. Taip pat labai svarbu užtikrinti, kad atsarginės kopijos būtų izoliuotos ir saugios.
