Som ventet kom det omfattende cyberrelaterte forvarsler onsdag, i forkant av den russiske invasjonen av Ukraina, som for alvor startet i natt til torsdag. Først ble mange ukrainske nettsteder gjort utilgjengelige ved hjelp av nye distribuerte tjenestenektangrep. Like etter ble det oppdaget at en helt ny type «wiper»-skadevare, som trolig kun har som formål å slette data, ble brukt på mange ukrainske datamaskiner.
Dette skriver cybersikkerhetsselskapet Eset i en serie med twittermeldinger:
Også Symantec har gjort tilsvarende observasjoner.
Skapt for nesten to måneder siden
Eset skriver at selskapet via rapporter fra PC-er med selskapets sikkerhetsprogramvare viser at den spesielle skadevaren har blitt registrert på flere hundre datamaskiner i Ukraina.
Skadevaren ble første gang observert klokken 14.52 UTC. Et av de innsamlede eksemplarene av skadevaren viser at den ble kompilert, altså at kildekoden til programvaren ble gjort kjørbar, 28. desember 2021, noe Eset mener antyder at forberedelsene til angrepet har pågått i lang tid.
Skadevaren utnytter legitime drivere fra programvaren EaseUS Partition Master til å korrumpere dataene, før den får datamaskinen til å starte på nytt. Skadevaren avhenger dog ikke av at driverne er installert fra før. De blir installert av skadevaren dersom den mangler.
I alle fall ved én av de rammede virksomhetene har skadevaren blitt installert ved hjelp av det vanlige GPO-et (Group Policy Object), noe som tyder på at angriperne også har tatt kontroll over virksomhetens Active Directory.
HermeticWiper
Etter diskusjoner mellom kolleger i andre selskaper har den nye skadevaren fått navnet HermeticWiper. Bakgrunnen for navnet er at den er signert med et sertifikat som er utstedt til et selskap med navnet Hermetica Digital Ltd, som skal høre hjemme i Nikosia på Kypros.
En mer teknisk gjennomgang av skadevaren er tilgjengelig her.
Bare en forsmak?
Ifølge Associated Press har HermeticWiper også blitt observert hos i alle fall to selskaper som holder til i henholdsvis Latvia og Litauen, som begge er Nato-land. Selskapene skal ha jobbet tett med ukrainske myndigheter.
– Angriperne har gått etter disse målene uten å bry seg mye om hvor de er fysisk lokalisert, sier Vikram Thakur, teknisk direktør i Symantec Threat Intelligence, til Associated Press.
Til det samme nyhetsbyrået sier Chester Wisniewski, en forsker hos IT-sikkerhetsselskapet Sophos, at Russland trolig har planlagt cyberangrep i måneder, noe som gjør det vanskelig å si hvor mange etater og virksomheter som faktisk har blitt kompromittert med bakdører.
Wisniewski gjetter på at skadevaren som nå har blitt avdekket, bare er en melding fra Kreml om at de har kompromittert betydelige deler av den ukrainske infrastrukturen, og at det som så langt har blitt avdekket, bare er små smakebiter på hvor allestedsnærværende penetrasjonen egentlig er.
Videoen i tvitringen nedenfor er trolig av det samme missilet som omtales i bildeteksten i toppen av saken.