Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET, shrnuje aktuální poznatky, které bratislavská bezpečnostní společnost zjistila na Ukrajině.
Ukrajina HermeticWiper malware viruslab
Úvod
Kyberútok jako součást konvenční války je koncept, o kterém se v bezpečnostní komunitě mluví delší dobu. Rozsah a podoba, kterou vidíme v posledních několika týdnech na Ukrajině, je naplněním našich odhadů. Nutno říct hned na úvod, že se – alespoň prozatím – nenaplnily ty nejčernější scénáře. To ale neznamená, že situace je jednoduchá.
Ukrajina HermeticWiper malware viruslab
Naše společnost na Ukrajině působí dlouhodobě a poměrně úspěšně. Zákazníci nás často volili ze tří hlavních důvodů: dobrá znalost prostředí, evropská působnost a nezávislost. Události, které naplňují přední stránky novin, nejsou jen otázkou několika posledních dnů. Na Ukrajině si byli lidé a organizace vědomi rizika dlouhodobě a v naši společnost měli důvěru.
ESET byl a je společností se sídlem v Bratislavě, kde je spolu s Českem rovněž největší zastoupení analytiků malwaru. Přestože má firma globální působnost, je logické, že hrozby z nejbližšího okolí umíme detekovat velmi dobře. BlackEnergy, GreyEnergy, Industroyer byly útoky, které jsme dokázali zachytit, analyzovat a řešit.
Přesto je současná situace bezprecedentní. V následujícím textu chronologicky zjišťuji průběžné výsledky našich analýz kyberkriminálních aktivit, které jsme na Ukrajině zachytili.
I.
Dne 23. února 2022 jsme s kolegy detekovali nový malware na ukrajinských zařízeních. Označili jsme jej jako Hermetic- Wiper. Na základě prvotní analýzy, která vznikla během několika málo hodin, jsme zjistili, že se jedná o škodlivý kód typu data wiper, který maže uživatelská data uložená na pevném disku počítače. Autoři kódu přitom zneužili legitimní ovladač rhdr.sys softwaru EaseUS Partition Master, který jinak slouží ke správě pevných disků. Tento ovladač si malware nese s sebou, není tedy nutné, aby byl na zařízení již instalován. Škodlivý kód kromě přepisu a mazání souborů v uživatelských adresářích maže také uživatelský profil uložený v souboru NTUSER.DAT. To ale není vše. Finálním krokem, který znemožňuje následné nastartování operačního systému, je přepis částí disku, které jsou nezbytné pro start operačního systému. Útok tohoto malwaru je schopen vyřadit nejen jednotlivé počítače, ale i celé organizace. Uživatelé bezpečnostních produktů ESET na Ukrajině jsou proti těmto hrozbám chráněni. V jedné z organizací, které byly cílem útoku, byl wiper nasazen prostřednictvím GPO, tedy standardního mechanismu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Útočníci tedy museli předem převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.
Použití destruktivního malwaru není úplně obvyklé. Přece jen je nejčastější motivací útočníka finanční zisk, případně špionáž apod. Vysvětlení přinesly následující hodiny.
II.
Od 24. února jsme pokračovali v dalších analýzách, díky kterým jsme již mohli vidět jednotlivé aktivity v kontextu. Konkrétně útočníci využívali tři škodlivé kódy: HermeticWiper pro vymazání dat, HermeticWizard pro šíření v místní síti a HermeticRansom, který funguje jako zastírací manévr a šifruje soubory. Z důkazů, které po činnosti malwaru zůstaly, vyplývá, že útoky byly plánovány několik měsíců. Se začátkem ruské invaze pak přišel druhý destruktivní útok na ukrajinskou vládní síť, který využíval opět malware typu wiper. Tento malware jsme detekovali jako IsaacWiper. Byl detekován v souvislosti s ukrajinskou vládní organizací, která nebyla zasažena HermeticWiperem.
Domníváme se, že postižené organizace byly kompromitovány s dostatečným předstihem ještě před nasazením wiperu. Toto naše tvrzení podporuje několik dalších zjištění, jako jsou časové značky kompilace spustitelného souboru obsahujícího HermeticWiper, z nichž nejstarší je z 28. prosince 2021, data vydání certifikátu pro podpis kódu z 13. dubna 2021 a v jednom zjištěném případě také nasazení malwaru HermeticWiper prostřednictvím výchozí doménové politiky. Všechny tyto parametry a skutečnosti naznačují, že útočníci již měli přístup k jednomu ze serverů Active Directory, které patřily oběti. IsaacWiper se v našich telemetrických datech objevil hned 24. února. Nejstarší nalezený časový údaj kompilace spustitelného souboru byl 19. října 2021, takže pokud nebyl tento údaj zfalšován, mohl být IsaacWiper použit v předchozích operacích již o několik měsíců dříve.
V případě HermeticWiperu jsme potom zaznamenali důkazy o plošném šíření uvnitř cílových organizací. Útočníci dle zjištění pravděpodobně převzali kontrolu nad serverem Active Directory. K šíření wiperu v napadených sítích využili vlastní škodlivý kód typu červ, který výzkumníci společnosti ESET pojmenovali HermeticWizard. V případě malwaru IsaacWiper útočníci použili k pohybu uvnitř sítě nástroj pro vzdálený přístup RemCom a pravděpodobně i Impacket.
V tuto chvíli ze zjištěných informací také víme, že Hermetic- Wiper se navíc sám vymazal z disku přepsáním vlastního souboru náhodnými bajty. Toto anti-forenzní opatření nám má pravděpodobně znemožnit analýzu wiperu po incidentu. Další z detekovaných hrozeb, ransomware HermeticRansom, byl pak nasazen současně s malwarem HermeticWiper, opět pravděpodobně kvůli tomu, aby činnost wiperu skryl.
Pouhý den po nasazení kódu IsaacWiper útočníci vypustili jeho novou verzi s funkcionalitou detailního logování, která poskytuje informace o průběhu jeho fungování. To může naznačovat, že útočníci nebyli schopni zničit data v některém z cílových zařízení a verzi s novou funkcí přidali proto, aby pochopili, co se děje a proč se tak nestalo.
Jen doplním, že termín „Hermetic“ je odvozen od kyperské společnosti Hermetica Digital Ltd, na jejíž jméno byl vydán certifikát pro podpis kódu. Je poněkud nezvyklé, že tento certifikát nebyl odcizen a útočníci jej patrně získali jinou cestou. V každém případě jsme ale požádali vydávající společnost DigiCert, aby certifikát okamžitě zrušila.
III.
Trvalo jen několik málo dní, než jsme se setkali s jinou, bohužel ne zcela výjimečnou formou podvodného chování v digitálním prostředí. Podvodné sbírky či falešné účty zneužívající dobrého jména legitimních institucí jsou bohužel běžné po každé větší tragické či katastrofické události. Jakkoli zachycené příspěvky na sociálních sítích a v e-mailové komunikaci byly v angličtině, mířily i na uživatele v Česku.
IV.
Posledním detekovaným „tvrdým“ malwarem byl škodlivý kód s označením Win32/KillDisk.NCX. Zachytili jsme jej na Ukrajině v pondělí 14. března hned v několika organizacích působících i ve finančním sektoru. Označili jsme jej jako CaddyWiper.
CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít. S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války.
Nasazení proběhlo rovněž prostřednictvím GPO, tedy standardním mechanismem pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory. Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.
V.
Po celou dobu, co jsme vyšetřovali události na Ukrajině, sledovali jsme zároveň situaci v České republice a dalších zemích. Během prvních tří týdnů konfliktu jsme nezaznamenali žádné útoky, které by měly souvislost s děním v oblasti konfliktu, nejsou sledovány ani žádné anomálie či výkyvy v počtu či charakteru kybernetických hrozeb. Respektive ty kybernetické útoky a kyberzločinecké aktivity, které v Česku probíhaly, probíhají a pravděpodobně probíhat budou, prozatím nelze dát do souvislosti s aktuálními událostmi na Ukrajině.
Co ale sledujeme je zvýšený provoz na síti, který může indikovat snahu útočníků o zmapování terénu. Ale zda se tak skutečně děje, to nelze v tuto chvíli s určitostí říct. Vše však i nadále sledujeme.
VI.
V souvislosti s děním na Ukrajině jsme v poslední době často dotazováni, jak se mohou organizace lépe chránit, aby mohly novým hrozbám čelit. Věc je přitom poměrně prostá. Tyto nové hrozby používají stejné mechanismy jako ty dobře známé. Bezpečnostní doporučení jsou proto stejná jako v případě běžných hrozeb. A víme, že pro bezpečnostní komunitu i IT specialisty jsou tato doporučení dobře známá. Zároveň ale také víme, že často prostě jen nejsou dodržována. Ať už v komerčním sektoru nebo státním, ať už z jednoho důvodu nebo druhého.
Pokud je reálná válka na Ukrajině jen několik kilometrů od našich hranic, v tom kybernetickém prostředí neexistují hranice žádné. Mějme to prosím na paměti a věnujme naší bezpečnosti maximum možné pozornosti.
Závěr
IoC
- 912342F1C840A42F6B74132F8A7C4FFE7D40FB77
- 61B25D11392172E587D8DA3045812A66C3385451
- Win32/KillDisk.NCV
- help-for-ukraine[.]eu
- tokenukraine[.]com
- supportukraine[.]today
- 98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy. exe)
Poznámka: IoC, Indicator of Compromise, představuje termín, kterým se označuje důkaz o bezpečnostním incidentu a jednoznačné identifikaci hrozby. Bezpečnostní komunita na jeho základě může hrozbě lépe čelit.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
