مع بدء الأعمال العدائية الأخيرة بين روسيا وأوكرانيا ، اكتشف باحثو ESET العديد من عائلات البرامج الضارة التي تستهدف المنظمات الأوكرانية.

• على 23 فبراير^rdفي عام 2022 ، استهدفت حملة مدمرة باستخدام HermeticWiper منظمات أوكرانية متعددة.
• سبق هذا الهجوم الإلكتروني ، بساعات قليلة ، بدء غزو قوات الاتحاد الروسي لأوكرانيا
• تباينت نواقل الوصول الأولية من منظمة إلى أخرى. أكدنا حالة واحدة للممسحة تم إسقاطها بواسطة GPO ، وكشفنا عن دودة تستخدم لنشر الممسحة في شبكة مخترقة أخرى.
• تشير القطع الأثرية للبرامج الضارة إلى أن الهجمات كانت مخططة منذ عدة أشهر.
• على 24 فبراير^thفي عام 2022 ، بدأ هجوم مدمر ثان ضد شبكة حكومية أوكرانية ، باستخدام ممسحة أطلقنا عليها اسم IsaacWiper.
• لم تتمكن ESET Research حتى الآن من عزو هذه الهجمات إلى عامل تهديد معروف.

هجمات مدمرة في أوكرانيا

كما هو مذكور في ESETResearch هذا سقسقة و مدونة WLS، اكتشفنا هجومًا مدمرًا على أجهزة الكمبيوتر في أوكرانيا بدأ في حوالي الساعة 14:52 يوم 23 فبراير^rd، 2022 بالتوقيت العالمي. جاء ذلك في أعقاب رفض الخدمة الموزع (DDoS) الهجمات على المواقع الأوكرانية الرئيسية وسبق الغزو العسكري الروسي بساعات قليلة.

استفادت هذه الهجمات المدمرة من ثلاثة مكونات على الأقل:

• ممسحة محكم: يجعل النظام معطلاً عن طريق إتلاف بياناته
• معالج المحكم: ينتشر HermeticWiper عبر شبكة محلية عبر WMI و SMB
• المحكم فدية: رانسومواري مكتوب في Go

تمت ملاحظة HermeticWiper على مئات الأنظمة في خمس منظمات أوكرانية على الأقل.

على 24 فبراير^th، 2022 ، اكتشفنا ممسحة جديدة أخرى في شبكة حكومية أوكرانية. أطلقنا عليه اسم IsaacWiper ونقوم حاليًا بتقييم روابطه ، إن وجدت ، مع HermeticWiper. من المهم أن نلاحظ أنه شوهد في منظمة كانت ليس المتضررة من HermeticWiper.

عزو

في هذه المرحلة ، لم نعثر على أي علاقة ملموسة مع جهة تهديد معروفة. لا تشترك كل من HermeticWiper و HermeticWizard و HermeticRansom في أي تشابه كبير في التعليمات البرمجية مع عينات أخرى في مجموعة ESET للبرامج الضارة. IsaacWiper لا يزال غير منسوب كذلك.

Timeline

يتم توقيع HermeticWiper و HermeticWizard بشهادة توقيع الكود (كما هو موضح في الشكل 1) المخصصة لـ هيرميتيكا الرقمية المحدودة صدر في 13 أبريل^th، 2021. طلبنا من المرجع المصدق (DigiCert) المُصدر لإلغاء الشهادة ، وهو ما فعلته في 24 فبراير^th، 2022.

الشكل 1. شهادة توقيع الرمز المخصصة لشركة Hermetic Digital Ltd

ووفقا ل تقرير رويترز، يبدو أن هذه الشهادة لم تتم سرقتها من شركة Hermetica Digital. من المحتمل أن المهاجمين بدلاً من ذلك انتحلوا صفة الشركة القبرصية من أجل الحصول على هذه الشهادة من DigiCert.

يقيم باحثو ESET بثقة عالية أن المنظمات المتضررة تعرضت للخطر قبل نشر الماسحة بوقت طويل. هذا يعتمد على عدة حقائق:

• الطوابع الزمنية لتجميع HermeticWiper PE ، أقدمها 28 ديسمبر^th، 2021
• تاريخ إصدار شهادة توقيع الرمز هو 13 أبريل^th، 2021
• يشير نشر HermeticWiper من خلال GPO في حالة واحدة على الأقل إلى أن المهاجمين كان لديهم وصول مسبق إلى أحد خوادم Active Directory الخاصة بالضحية

يتم تلخيص الأحداث في الجدول الزمني في الشكل 2.

الشكل 2. الجدول الزمني للأحداث الهامة

الوصول الأولي

ممسحة محكم

متجه الوصول الأولي غير معروف حاليًا ولكننا لاحظنا آثارًا للحركة الجانبية داخل المنظمات المستهدفة. في كيان واحد ، تم نشر الممسحة من خلال نهج المجال الافتراضي (GPO) ، كما يتضح من مساره على النظام:

ج: Windowssystem32GroupPolicyDataStore