Нова кібератака, яка, схоже, спрямована на Україну, призначена для перезапису важливих файлів Windows і виведення з ладу комп’ютерів на цій ОС. Деталі цієї атаки розповіла антивірусна фірма ESET.
«25 січня #ESETResearch виявила нову кібератаку в Україні. Зловмисники розгорнули новий очищувач, який ми назвали #SwiftSlicer, використовуючи групову політику Active Directory. Програма #SwiftSlicer написана мовою програмування Go. Ми приписуємо цю атаку #Sandworm», — йдеться у твіті фірми.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in ?? Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
Також відомий як Unit 74455, Sandworm — це нібито група російських кібервійськових хакерів, які працюють на Головне розвідувальне управління (ГРУ) Генерального штабу. Групі також приписують низку інших атак в Україні, зокрема атаку на українські електромережі у 2015 році, хоча наразі ці звинувачення є необґрунтованими.
Після виконання вірус видаляє тіньові копії, рекурсивно перезаписує файли, розташовані в %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS та інших несистемних дисках, а потім перезавантажує комп’ютер, розповідають фахівці ESET. Після видалення цих файлів комп’ютер вже не може нормально завантажитися.
Кажуть, що Go, мова програмування, яка лежить в основі атаки, цінується зловмисниками за її універсальність, і використовується низкою справжніх компаній з законних причин, зокрема Google, Twitter і PayPal.
За даними Української групи реагування на комп’ютерні надзвичайні ситуації, Sandworm був зайнятий низкою інших атак в країні, включаючи п’ять атак зі знищенням даних на Національне інформаційне агентство України, повідомляло новинне бюро Укрінформ.