烏克蘭新聞機構(gòu)遭俄軍事黑客組織攻擊

發(fā)布時間 2023-01-27

截至 2023 年 1 月 27 日,烏克蘭計算機應(yīng)急響應(yīng)小組 (CERT-UA) 在該國國家新聞機構(gòu) (Ukrinform) 的網(wǎng)絡(luò)上發(fā)現(xiàn)了五種不同的數(shù)據(jù)擦除惡意軟件組合,其功能旨在破壞信息的完整性和可用性(寫入零字節(jié)/任意數(shù)據(jù)的文件/磁盤及其隨后的刪除)。


在針對 Ukrinform 的攻擊中部署的破壞性惡意軟件列表包括 CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux) 和 BidSwipe (FreeBSD)。


攻擊者使用 Windows 組策略 (GPO) 啟動了 CaddyWiper 惡意軟件,由此可表明他們事先已經(jīng)破壞了目標(biāo)的網(wǎng)絡(luò)。正如 CERT-UA 在調(diào)查期間發(fā)現(xiàn)的那樣,攻擊者在 12 月 7 日左右獲得了對 Ukrinform 網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限,并等待了一個多月才釋放惡意軟件。


然而,他們試圖清除新聞機構(gòu)系統(tǒng)中所有數(shù)據(jù)的嘗試失敗了。擦除器僅成功銷毀了“幾個數(shù)據(jù)存儲系統(tǒng)”上的文件,這并未影響 Ukrinform 的運營。CERT-UA 強調(diào)網(wǎng)絡(luò)攻擊只是部分成功,特別是在有限數(shù)量的數(shù)據(jù)存儲系統(tǒng)方面。


與俄羅斯沙蟲軍事黑客有關(guān)的網(wǎng)絡(luò)攻擊


CERT-UA 上周將此次攻擊與 Sandworm 威脅組織聯(lián)系起來,該組織是俄羅斯主要情報局 (GRU) 74455 軍事部隊的黑客組織,Sandworm 曾在4 月份針對一家大型烏克蘭能源供應(yīng)商的另一次失敗攻擊中使用了 CaddyWiper 數(shù)據(jù)擦除器。


在那次攻擊中,俄羅斯黑客使用了類似的策略,部署 CaddyWiper 來清除 Industroyer ICS 惡意軟件留下的痕跡,以及其他三個為 Linux 和 Solaris 系統(tǒng)設(shè)計的擦除器,并被跟蹤為 Orcshred、Soloshred 和 Awfulshred。


自 2022 年 2 月俄烏戰(zhàn)爭以來,除了 CaddyWiper 之外,烏克蘭目標(biāo)網(wǎng)絡(luò)上還部署了多種數(shù)據(jù)擦除惡意軟件,包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate和AcidRain 等。


此外,微軟和斯洛伐克軟件公司 ESET 也表示最近針對烏克蘭的勒索軟件攻擊與 Sandworm 黑客組織有關(guān)。