JUSS OG SAMFUNN

Skadevare viser at angrepet på Ukraina har vært forberedt i flere måneder, mener cybersikkerhetsselskap

Ble skapt for to måneder siden.

Skader etter at en russisk missil landet i en gate i Kyiv i Ukraina i morgentimene torsdag.
Skader etter at en russisk missil landet i en gate i Kyiv i Ukraina i morgentimene torsdag. Foto: Valentyn Ogirenko/Reuters/NTB
Harald BrombachHarald BrombachNyhetsleder
24. feb. 2022 - 10:25

Som ventet kom det omfattende cyberrelaterte forvarsler onsdag, i forkant av den russiske invasjonen av Ukraina, som for alvor startet i natt til torsdag. Først ble mange ukrainske nettsteder gjort utilgjengelige ved hjelp av nye distribuerte tjenestenektangrep. Like etter ble det oppdaget at en helt ny type «wiper»-skadevare, som trolig kun har som formål å slette data, ble brukt på mange ukrainske datamaskiner. 

Dette skriver cybersikkerhetsselskapet Eset i en serie med twittermeldinger:

Også Symantec har gjort tilsvarende observasjoner.

 Forskerne Ekrem Misimi (t.v.) og Sverre Herland foran roboten Bifrost, som nå har satt verdensrekord i å lære seg forming av myke objekter.
Les også

KI gjør det mulig å lære roboter nye triks

Skapt for nesten to måneder siden

Eset skriver at selskapet via rapporter fra PC-er med selskapets sikkerhetsprogramvare viser at den spesielle skadevaren har blitt registrert på flere hundre datamaskiner i Ukraina. 

Skadevaren ble første gang observert klokken 14.52 UTC. Et av de innsamlede eksemplarene av skadevaren viser at den ble kompilert, altså at kildekoden til programvaren ble gjort kjørbar,  28. desember 2021, noe Eset mener antyder at forberedelsene til angrepet har pågått i lang tid. 

Skadevaren utnytter legitime drivere fra programvaren EaseUS Partition Master til å korrumpere dataene, før den får datamaskinen til å starte på nytt. Skadevaren avhenger dog ikke av at driverne er installert fra før. De blir installert av skadevaren dersom den mangler.

I alle fall ved én av de rammede virksomhetene har skadevaren blitt installert ved hjelp av det vanlige GPO-et (Group Policy Object), noe som tyder på at angriperne også har tatt kontroll over virksomhetens Active Directory. 

HermeticWiper

Etter diskusjoner mellom kolleger i andre selskaper har den nye skadevaren fått navnet HermeticWiper. Bakgrunnen for navnet er at den er signert med et sertifikat som er utstedt til et selskap med navnet Hermetica Digital Ltd, som skal høre hjemme i Nikosia på Kypros. 

En mer teknisk gjennomgang av skadevaren er tilgjengelig her.

IGF-sekretariatet møtte digitaliseringsminister Karianne Tung i Oslo for å vurdere Norge som kandidat til å arrangere IGF-konferansen i 2025. Tung drar ikke til Riyadh denne uka.
Les også

Saudi-Arabia holder konferanse om utviklingen av internett: – Ironisk

Bare en forsmak?

Ifølge Associated Press har HermeticWiper også blitt observert hos i alle fall to selskaper som holder til i henholdsvis Latvia og Litauen, som begge er Nato-land. Selskapene skal ha jobbet tett med ukrainske myndigheter.

– Angriperne har gått etter disse målene uten å bry seg mye om hvor de er fysisk lokalisert, sier Vikram Thakur, teknisk direktør i Symantec Threat Intelligence, til Associated Press.

Til det samme nyhetsbyrået sier Chester Wisniewski, en forsker hos IT-sikkerhetsselskapet Sophos, at Russland trolig har planlagt cyberangrep i måneder, noe som gjør det vanskelig å si hvor mange etater og virksomheter som faktisk har blitt kompromittert med bakdører. 

Wisniewski gjetter på at skadevaren som nå har blitt avdekket, bare er en melding fra Kreml om at de har kompromittert betydelige deler av den ukrainske infrastrukturen, og at det som så langt har blitt avdekket, bare er små smakebiter på hvor allestedsnærværende penetrasjonen egentlig er. 

Videoen i tvitringen nedenfor er trolig av det samme missilet som omtales i bildeteksten i toppen av saken.

Ericsson Consumerlab er opptatt av å vise mobiloperatørene at det fins mer penger å hente fra kundene ved differensierte, ytelsespriset tilgang til mobilnettet.
Les også

KI øker trafikken i mobilnettene

 

 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra