Ουκρανία: Κυβερνοεπίθεση διαγράφει δεδομένα με την έναρξη της εισβολής

Όπως διαπίστωσε το τμήμα έρευνας της εταιρείας κυβερνοασφάλειας ESET, αρκετοί οργανισμοί στην Ουκρανία έχουν πληγεί από κυβερνοεπίθεση που περιλάμβανε νέο κακόβουλο λογισμικό διαγραφής δεδομένων (data wiper) με την ονομασία HermeticWiper και το οποίο επηρέασε εκατοντάδες υπολογιστές στα δίκτυά τους. Η επίθεση πραγματοποιήθηκε λίγες ώρες μετά από σειρά επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσε εκτός λειτουργίας αρκετές σημαντικές ιστοσελίδες στη χώρα.

Το κακόβουλο λογισμικό που ανιχνεύθηκε ως Win32/KillDisk.NCV, εντοπίστηκε για πρώτη φορά λίγο πριν τις 5 μ.μ. τοπική ώρα (3 μ.μ. UTC) την Τετάρτη, δηλαδή λίγο πριν την έναρξη της ρωσικής εισβολής. Η χρονοσήμανση (timestamp) του data wiper, εν τω μεταξύ, δείχνει ότι δημιουργήθηκε στις 28 Δεκεμβρίου 2021, γεγονός που υποδηλώνει ότι η επίθεση μπορεί να προετοιμαζόταν για αρκετό καιρό.

Αξιοσημείωτο είναι ότι το ΗermeticWiper χρησιμοποίησε επώνυμους drivers δημοφιλούς λογισμικού διαχείρισης δίσκων. «Το wiper κάνει κατάχρηση νόμιμων drivers από το λογισμικό EaseUS Partition Master για να καταστρέψει δεδομένα», σύμφωνα με τους ερευνητές της ESET.

Επιπλέον, οι επιτιθέμενοι χρησιμοποίησαν ένα γνήσιο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε σε εταιρεία με έδρα την Κύπρο που ονομάζεται Hermetica Digital Ltd., εξ ου και το όνομα του wiper. Φαίνεται επίσης ότι τουλάχιστον σε μία περίπτωση, οι απειλητικοί φορείς είχαν πρόσβαση στο δίκτυο του θύματος πριν εξαπολύσουν το κακόβουλο λογισμικό.

Νωρίτερα την Τετάρτη, ορισμένες ουκρανικές ιστοσελίδες τέθηκαν εκτός λειτουργίας μετά από ένα νέο κύμα επιθέσεων DDoS που στοχεύουν τη χώρα εδώ και εβδομάδες.

Στα μέσα Ιανουαρίου, ένα άλλο πρόγραμμα καταστροφής δεδομένων σάρωσε την Ουκρανία. Με την ονομασία WhisperGate, το wiper μεταμφιέστηκε σε ransomware και είχε κάποια κοινά στιγμή με την επίθεση NotPetya που έπληξε την Ουκρανία τον Ιούνιο του 2017 πριν προκαλέσει χάος σε όλο τον κόσμο.