به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان معتقدند که گونه جدیدی از بدافزار پاککن که زیرساختهای اوکراین را هدف قرار داده، مرتبط با هکرهای طرفدار روسیه است که جدیدترین نشانه از تاکتیکهای سایبری در حال تکامل مسکو به شمار میرود.
یک نهاد زیرساخت حیاتی نامشخص در اوکراین توسط بدافزار پاککن بیسابقهای هدف قرار گرفت که محققان سیسکو تالوس (Cisco Talos) آن را «PathWiper» نامیدند.
تالوس اعلام کرد که این حمله را به یک گروه تهدید پایدار پیشرفته (APT) مرتبط با روسیه نسبت داده و به شباهتهای تاکتیکی با عملیاتهای قبلی طرفدار روسیه اشاره کرد.
به گفته تالوس، بین PathWiper و «HermeticWiper»، یکی از گونههای مخرب بدافزار که در آغاز حمله روسیه به اوکراین در سال 2022 استفاده شد، اشتراکاتی وجود دارد.
آن حملات با استفاده از HermeticWiper به شدت به «Sandworm»، یک بخش در اطلاعات روسیه، نسبت داده شد.
تالوس گفت که PathWiper و HermeticWiper تلاش میکنند تا رکورد بوت اصلی و مصنوعات مرتبط با «NTFS» را نیز خراب کنند، اما مکانیسمهای خرابکاری آنها به طور قابل توجهی متفاوت است.
شرکت تصریح کرد:
«PathWiper به صورت برنامهنویسیشده تمام درایوها و ولومهای متصل، از جمله درایوهای از کار افتاده، روی سیستم و برچسبهای ولوم را برای تأیید شناسایی و رکوردهای معتبر را مستندسازی میکند. این کار با فرآیند ساده HermeticWiper که شمارش درایوهای فیزیکی از ۰ تا ۱۰۰ و تلاش برای خراب کردن آنها است، تفاوت دارد. در کشف PathWiper، مهاجم از قبل کنترل سیستم مدیریت نقطه پایانی سازمان زیرساختهای حیاتی را در دست داشت که نشان دهنده درجه خاصی از پیچیدگی است.»
محققان جزئیات بیشتری از این حمله ارائه نکردند، اما با این سطح دسترسی، PathWiper میتوانست به طور گسترده در سراسر شبکه سازمان مستقر شود و باعث تخریب گسترده شود.
این بدافزار ابتدا رسانههای ذخیرهسازی متصل در نقطه پایانی، از جمله نام درایوهای فیزیکی، نامها و مسیرهای ولوم و درایو شبکه (اشتراکی و غیراشتراکی) را شمارش میکند.
شرکت اظهار داشت که پس از جمعآوری تمام اطلاعات رسانههای ذخیرهسازی، PathWiper برای هر مسیر ثبت شده، یک رشته (thread) برای هر درایو و ولوم ایجاد و مصنوعات را با بایتهای تولید شده تصادفی بازنویسی میکند؛ این پاککننده چندین ویژگی سیستم فایل، مانند موارد زیر از سیستم فایل فناوری جدید (NTFS) را میخواند. سپس PathWiper محتویات/دادههای مربوط به این مصنوعات را مستقیماً روی دیسک با دادههای تصادفی رونویسی میکند.
به گفته کارشناسان، قبل از رونویسی محتویات مصنوعات، پاککننده همچنین سعی میکند با استفاده از «FSCTL_DISMOUNT_VOLUME IOCTL» در شیء دستگاه «MountPointManager»، حجمها را از بین ببرد. PathWiper همچنین با رونویسی آنها با بایتهای تصادفی، فایلهای روی دیسک را از بین میبرد.
قبل از حمله روسیه به اوکراین، مشاهده حمله بدافزار پاککن در طبیعت یک اتفاق نسبتاً نادر بود، شاید یک حادثه بزرگ در یک سال بد، اما استفاده از آنها پس از شروع جنگ افزایش یافت.
محققان 6 گونه جدید را در 3 ماهه اول سال 2022 مشاهده کردند که حملات آنها باعث اختلال در مقیاس وسیع فراتر از اهداف مورد نظرشان، از جمله توربینهای بادی آلمان، شد؛ این حملات عمدتاً سازمانهای اوکراینی را هدف قرار میدادند، یک موضوع کلیدی جنگ چندوجهی روسیه که شاهد حملات جنبشی روی زمین با پشتیبانی حملات سایبری موازی بود.
با این حال، شرکت مخابراتی «Viasat» از جمله قربانیان برجسته حملات وایپر هکرهای روسی بود. هفتهها پس از پاک شدن مودمهای آن که باعث قطع دسترسی به اینترنت شد، حادثهای که با روزهای اول حمله روسیه همزمان شد، کارشناسان تأیید کردند که از بدافزار وایپر «AcidRain» در این حمله استفاده شده است.
استفاده از بدافزار پاککن تنها یکی از راههای متعددی بود که روسیه از فناوری برای پشتیبانی از عملیاتهایش در میدان نبرد استفاده کرد.
کارشناسان ادعا کردند که حملات منع سرویس توزیع شده (DDoS) علیه سیستمهای اوکراینی 10 روز قبل از حمله آغاز شد؛ وایپرها روز قبل استفاده شدند و اواخر همان روز عملیاتهای روانی روسیه آغاز شد. از ارسال پیامک مستقیم به سربازان اوکراینی با درخواست تسلیم تا صدور هشدارهای جعلی در مورد عدم عملکرد عادی دستگاههای خودپرداز و استفاده از فناوری دیپفیک برای به تصویر کشیدن تسلیم شدن ولادیمیر زلنسکی، رئیس جمهور اوکراین، حمله روسیه طرح جدیدی را برای آغاز دوران جنگ در قرن بیست و یکم نوشت.
بنابر ادعای محققان، پوتین هنوز در دستیابی به هدف خود برای ادغام مجدد اوکراین در نفوذ روسیه شکست خورده، اگرچه مسکو اکنون یک پنجم خاک این کشور را کنترل میکند. با وجود تلاشهای زلنسکی و با وجود رضایت کرملین، اوکراین همچنین نتوانسته عضو ناتو شود، گام دیگری که پوتین با جنگ میخواست از آن جلوگیری کند.
