5 вредоносных программ одновременно атаковали информационное агентство Украины

Украинская служба реагирования на компьютерные инциденты (CERT-UA) 17 января обнаружила в сети национального информационного агентства страны (Укринформ) смесь из 5-ти различных вайперов.

В список вайперов входят CaddyWiper (Windows), ZeroWipe (Windows), SDelete (Windows), AwfulShred (Linux) и BidSwipe (FreeBSD). Штаммы ZeroWipe и BidSwipe либо являются новыми вредоносными программами, либо отслеживаются Украиной под другими именами.

Злоумышленники запустили вредоносное ПО CaddyWiper с помощью групповой политики Windows (GPO), тем самым показав, что они заранее взломали сеть Агентства. Как выяснила CERT-UA в ходе расследования, злоумышленники получили удаленный доступ к сети Укринформ примерно 7 декабря и ждали более месяца, прежде чем выпустить смесь вредоносных программ.

Однако, их попытка стереть все данные из систем информационного агентства не удалась. Вайперы уничтожили файлы только на «нескольких системах хранения данных», что не повлияло на работу Укринформ.

CERT-UA приписала атаку группировке Sandworm и связала её с предыдущей атакой группы с использованием ранее незадокументированного очистителя данных Sandworm на базе Golang под названием SwiftSlicer.