PathWiper 恶意软件瞄准乌克兰数字骨干网

又一个数字威胁浮现

另一款名为PathWiper的恶意软件被发现与乌克兰关键基础设施遭受的网络攻击有关。安全研究人员透露，这款破坏性软件是通过合法的端点管理平台部署的，这表明攻击者完全控制了该系统的管理控制台。这种访问级别使得恶意软件能够在目标网络内的多台设备上无缝且广泛地部署。

什么是 PathWiper？

PathWiper 是一种“擦除器”恶意软件——一种旨在不可逆地破坏受感染系统上数据的恶意软件。一旦执行，PathWiper 会扫描系统上所有连接的存储设备，包括物理驱动器、共享和非共享网络卷以及可移动介质。然后，它会启动多个线程同时攻击每个发现的卷，用随机生成的字节替换数据，使数据永久无法恢复。

高级破坏战术

与典型的恶意软件（可能旨在窃取信息或劫持系统）不同，PathWiper 具有纯粹的破坏性。它以编程方式识别所有存储路径，并直接攻击关键文件系统组件，例如主引导记录 (MBR) 以及关键 NTFS 文件（例如 $MFT、$LogFile 和 $Bitmap）。在覆盖之前，它会尝试卸载卷，以确保破坏干净彻底。这种针对性的方法使恢复工作变得更加困难。

经验丰富的对手的痕迹

PathWiper 背后的策略和编码风格与此前发现的与俄罗斯支持的网络行动相关的恶意软件非常相似。具体来说，专家指出，它与 2022 年发布的HermeticWiper恶意软件（也曾用于攻击乌克兰系统）存在相似之处。然而，与使用更基础方法来定位和破坏驱动器的 HermeticWiper 不同，PathWiper 执行更精确的扫描，并使用更复杂的系统在启动破坏之前确认驱动器身份。

为什么这很重要

PathWiper 的出现凸显了网络战日益增长的趋势：使用破坏性工具并非为了间谍活动，而是为了造成运营瘫痪。对于乌克兰而言，其关键基础设施已因长期冲突而承受巨大压力，此类攻击对其重要服务的稳定性和连续性构成了重大风险。该恶意软件能够精准地清除系统数据，这引发了人们对国家基础设施面临的数字威胁日益演变的担忧。

乌克兰以外的影响

虽然此次事件发生在乌克兰境内，但攻击所使用的方法暴露出其他国家和行业可能利用的漏洞。使用合法的管理工具部署恶意软件凸显了一个更广泛的问题：一旦攻击者获得管理工具的访问权限，即使是受信任的平台也可能成为大规模破坏的载体。这引发了关于端点安全、访问控制以及关键系统持续监控必要性的紧迫问题。

一窥网络威胁的未来

像 PathWiper 这样的 Wiper 恶意软件日益复杂，代表着网络安全格局的转变。这些工具并非悄无声息地运作，而是旨在迅速且不可逆转地造成影响。此次攻击表明，即使在像乌克兰这样的长期冲突中，网络战仍在不断发展，对手部署的武器也日益精良，旨在大规模地进行破坏。

底线

对于全球各地的组织而言，PathWiper 的发现是一个警示，提醒他们加强防御。这包括加强对管理访问权限的控制、定期检查端点完整性，以及部署能够识别异常行为的早期检测系统。确保备份的隔离和安全也至关重要。