0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Не вымогательство, а чистое искусство разрушения. Хакеры применили новую тактику против польской инфраструктуры

leer en español

ESET DynoWiper Sandworm CERT Polska энергетика вайпер кибератака
Не вымогательство, а чистое искусство разрушения. Хакеры применили новую тактику против польской инфраструктуры
ESET DynoWiper Sandworm CERT Polska энергетика вайпер кибератака

Критическая инфраструктура страны столкнулась с атакой, цель которой — чистое разрушение.

image

Компания ESET раскрыла технические детали атаки с использованием нового вредоносного инструмента для уничтожения данных под названием DynoWiper. Инцидент затронул энергетическую организацию в Польше и отличается тем, что был нацелен на критически важный сектор.

Команда ESET установила, что обнаруженная программа предназначена для разрушения данных на рабочих станциях и серверах. По характеру работы DynoWiper заметно похож на ранее выявленный инструмент ZOV Wiper. В обоих случаях использовались схожие техники распространения через групповые политики Active Directory и особая логика перезаписи файлов, при которой часть содержимого затирается выборочно для ускорения процесса. На основе совпадений в тактике и инструментах аналитики связывают эту операцию с известной разрушительной группировкой, однако уровень уверенности оценён как средний.

Во время атаки злоумышленники разместили в общей сетевой директории несколько вариантов исполняемых файлов и запускали их поочерёдно. Каждый следующий образец содержал незначительные модификации, что указывает на попытки обойти защитные механизмы. Установленное в инфраструктуре решение ESET PROTECT заблокировало выполнение всех версий вредоносной программы и тем самым ограничило ущерб.

DynoWiper действует поэтапно. Сначала утилита сканирует подключённые диски и перезаписывает файлы случайными данными, пропуская ряд системных каталогов. Далее в некоторых вариантах ограничения снимаются и удаление затрагивает почти всё содержимое накопителей. На завершающем этапе выполняется принудительная перезагрузка, из-за чего восстановление системы становится значительно сложнее. Подобная схема уничтожения данных прослеживается и в других известных вайперах, задействованных в атаках на критическую инфраструктуру.

В сети пострадавшей организации также обнаружены следы применения открытых инструментов Rubeus и rsocx. Кроме того, зафиксированы попытки выгрузки памяти процесса LSASS с помощью встроенных утилит Windows. Для маскировки трафика использовался внешний сервер, который, по оценке аналитиков, был скомпрометирован и применялся как точка ретрансляции.

По наблюдениям ESET, данная группировка давно специализируется на разрушительных операциях и атаках на инфраструктурные компании, включая энергетику и транспортно-логистический сектор. Ранее её операции чаще маскировались под вымогательское ПО или скрытую активность, однако в этом случае был избран сценарий прямого уничтожения данных.

Отдельный технический разбор происшествия опубликовала команда реагирования CERT Polska. В отчёте подчёркивается, что получение прав администратора домена существенно расширяет возможности злоумышленников внутри сети и затрудняет защиту организации — именно поэтому безопасность Active Directory и своевременное обнаружение вторжений остаются приоритетными задачами.