PathWiper 惡意軟體瞄準烏克蘭數位骨幹網

又一個數位威脅浮現

另一款名為PathWiper的惡意軟體被發現與烏克蘭關鍵基礎設施遭受的網路攻擊有關。安全研究人員透露，這款破壞性軟體是透過合法的端點管理平台部署的，這表明攻擊者完全控制了該系統的管理控制台。這種存取等級使得惡意軟體能夠在目標網路內的多台裝置上無縫且廣泛地部署。

什麼是 PathWiper？

PathWiper 是一種「擦除器」惡意軟體——一種旨在不可逆地破壞受感染系統上資料的惡意軟體。一旦執行，PathWiper 會掃描系統上所有連接的儲存設備，包括實體磁碟機、共用和非共用網路磁碟區以及可移動媒體。然後，它會啟動多個線程同時攻擊每個發現的捲，並用隨機生成的位元組替換數據，使數據永久無法恢復。

進階破壞戰術

與典型的惡意軟體（可能旨在竊取資訊或劫持系統）不同，PathWiper 具有純粹的破壞性。它以程式設計方式識別所有儲存路徑，並直接攻擊關鍵檔案系統元件，例如主引導記錄 (MBR) 以及關鍵 NTFS 檔案（例如 $MFT、$LogFile 和 $Bitmap）。在覆蓋之前，它會嘗試卸載卷，以確保破壞乾淨徹底。這種針對性的方法使復原工作變得更加困難。

經驗豐富的對手的痕跡

PathWiper 背後的策略和編碼風格與先前發現的與俄羅斯支持的網路行動相關的惡意軟體非常相似。具體來說，專家指出，它與 2022 年發布的HermeticWiper惡意軟體（也用於攻擊烏克蘭系統）存在相似之處。然而，與使用更基礎方法來定位和破壞驅動器的 HermeticWiper 不同，PathWiper 執行更精確的掃描，並使用更複雜的系統在啟動破壞之前確認驅動器身份。

為什麼這很重要

PathWiper 的出現凸顯了網路戰日益增長的趨勢：使用破壞性工具並非為了間諜活動，而是為了造成營運癱瘓。對於烏克蘭而言，其關鍵基礎設施已因長期衝突而承受巨大壓力，而此類攻擊對其重要服務的穩定性和連續性構成了重大風險。該惡意軟體能夠精準地清除系統數據，這引發了人們對國家基礎設施面臨的數位威脅日益演變的擔憂。

烏克蘭以外的影響

雖然這次事件發生在烏克蘭境內，但攻擊所使用的方法暴露出其他國家和產業可能利用的漏洞。使用合法的管理工具部署惡意軟體凸顯了一個更廣泛的問題：一旦攻擊者獲得管理工具的存取權限，即使是受信任的平台也可能成為大規模破壞的載體。這引發了關於端點安全、存取控制以及關鍵系統持續監控必要性的迫切問題。

一窺網路威脅的未來

像 PathWiper 這樣的 Wiper 惡意軟體日益複雜，代表網路安全格局的轉變。這些工具並非悄無聲息地運作，而是旨在迅速且不可逆轉地造成影響。這次攻擊表明，即使在像烏克蘭這樣的長期衝突中，網路戰仍在不斷發展，對手部署的武器也日益精良，旨在大規模地進行破壞。

底線

對於全球各地的組織而言，PathWiper 的發現是一個警示，提醒他們加強防禦。這包括加強對管理存取權限的控制、定期檢查端點完整性，以及部署能夠識別異常行為的早期偵測系統。確保備份的隔離和安全也至關重要。