Вікторія Горбік Таке життя 30 квітня 2022, 13:49

В Україні з початку війни ширяться віруси Wiper, які стирають жорсткий диск жертви. Які вони бувають і як захиститися

Паралельно з фізичним наступом російських військ в Україну, в полі кібербезпеки фахівці фіксують збільшення кількості розгортань шкідливих програм Wiper. Хоча вони офіційно не приписуються російським державним загрозам, їх цілі збігаються з цілями російських військових.

Компанія FortiGuard Labs надала звіт про цю загрозу, щоб допомогти організаціям зрозуміти її та застосувати від неї кращий захист.

Залишити коментар

В Україні з початку війни ширяться віруси Wiper, які стирають жорсткий диск жертви. Які вони бувають і як захиститися

Паралельно з фізичним наступом російських військ в Україну, в полі кібербезпеки фахівці фіксують збільшення кількості розгортань шкідливих програм Wiper. Хоча вони офіційно не приписуються російським державним загрозам, їх цілі збігаються з цілями російських військових.

Компанія FortiGuard Labs надала звіт про цю загрозу, щоб допомогти організаціям зрозуміти її та застосувати від неї кращий захист.

Wiper — це шкідливе програмне забезпечення, метою якого є стерти жорсткий диск машини-жертви, тобто знищити дані за допомогою різних способів.

Трохи історії

Часова шкала зловмисного програмного забезпечення Wiper (фото FORTINET)

З’явився цей шкідник у 2012 і шлях, з використанням різних способів, його був наступний:

Shamoon, 2012. Напали на Saudi Aramco і катарські нафтові компанії RasGas.
Dark Seoul, 2013. Напали на південнокорейські медіа та фінансові компанії.
Shamoon, 2016. Повернувся, щоб знову атакувати організації Саудівської Аравії.
NotPetya, 2017. Спочатку націлювався на українські організації, але завдяки здатності до саморозповсюдження став найбільш руйнівним шкідливим програмним забезпеченням на сьогодні.
Olympic Destroyer, 2018. Атака була спрямована проти Зимових Олімпійських ігор у Південній Кореї.
Ordinypt/GermanWiper, 2019. Напад на німецькі організації з використанням фішингових електронних листів німецькою мовою.
Dustman, 2019. Іранські державні загрози напали на Bapco, національну нафтову компанію Бахрейну.
ZeroCleare, 2020. Напад на енергетичні компанії на Близькому Сході.
WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero 2022. Напад на українські організації паралельно з українсько-російською війною.
AcidRain, 2022. Напад на постачальника супутникових послуг Viasat KA-SAT.

Задля чого

Фахівці компанії виділили 4 основні мотивації, які, на їхню думку, спонукали зловмисників до використання Wiper.

1. Фінансова вигода

З цією метою в першу чергу використовують віруси-шифрувальники, шкідливі програми-здирники, які прикидуються, що шифрують дані, щоб отримати від потерпілого викуп за дешифровку. Але в більшості випадків дані були знищені та не підлягали відновленню.

Хорошим прикладом цього є вірус Ordinypt або GermanWiper, який був активний у 2017 році. Як і програма-вимагач, вона змінювала файли та додала до них випадкове розширення з 5 символів. Це також знищило параметри відновлення, такі як тіньова копія Windows. І він змінив фон робочого столу, щоб відобразити записку про викуп з адресою, куди очікували отримати викуп у біткойнах. Однак він насправді не шифрував файли. Натомість він заповнив їх нульовими байтами та обрізав їх. Завдяки такому підходу не було можливості відновити будь-які уражені файли.

2. Знищення доказів

Цю мотивацію, як вважають фахівці, довести складно і вона є одною з найменш очевидною. До висновку про неї доходять частіше за все, якщо не має прямих доказів використання зловмисного ПЗ з інших причин.

Основний показник, який вказує на неї, коли після атаки, замість того, щоб затерти всі докази існування, зловмисники розгортають всередині організації зловмисне програмне забезпечення. В такому випадку захисники зсередини змушені зосередитись на відновленні даних, а не на розслідуванні вторгнення. Це стирає докази та збільшує масштаби знищення.

3. Саботаж

Натомість саботаж є найочевиднішою причиною використання вірусів Wiper.

Одним із прикладів у цій категорії є шкідливе програмне забезпечення Shamoon, яке використовувалось для атаки на Saudi Aramco та інші нафтові компанії. Атака знищила 30 000 робочих станцій Saudi Aramco. У таких масштабах навіть заміна цих комп’ютерів стає кошмаром логістики. Атака була також запланована на час, коли свято тільки почалося, щоб максимізувати свій вплив, розраховуючи на обмежений персонал, доступний для реагування на атаку. Що майже паралізувало роботу компаній.

4. Кібервійна

Ця мотивація з’явилась разом з вторгненням росії на територію України. На момент публікації було виявлено сім різних атак зловмисного програмного забезпечення (WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero, AcidRain), спрямованих на українську інфраструктуру або українські компанії. Всі вони чітко відповідають інтересам росії в Україні та росії у цій війні.

Віруси в таких випадках пошкоджують об'єкти критичної інфраструктури, тактичні та інші цілі в інтересах противоборчих військових, або все, що може викликати хаос і посилити психічне навантаження на противника.

Цікавим і недавнім прикладом цього є підозра, що Wiper AcidRain був використаний під час атаки на постачальника послуг супутникового широкосмугового доступу Viasat KA-SAT. Зловмисник отримав доступ до інфраструктури управління провайдера для розгортання AcidRain на модемах KA-SAT, які використовуються в Україні. Атака також зробила недоступними 5800 вітрових турбін у Німеччині.

Особливості Wiper

Приховане вимагання

Багато вірусів Wiper поводять себе, як програма-вимагач, тобто використовують типові тактики та прийоми (TTP), які використовує фактична програма-вимагач, але вони роблять це без можливості відновлення файлів. Але в багатьох випадках стає очевидним, що насправді це програма-стиральник.

Таким чином вони використовуються для того, щоб:

ввести в оману групу реагування на інциденти і, таким чином, уповільнити контрзаходи, як Ordinypt.
приховати мотивацію нападу у випадку, коли справжньою мотивацією є саботаж або кібервійна.

Відмінним прикладом останнього є сумнозвісний NotPetya 2017 року. Все почалося з атаки ланцюга поставок на українські компанії через оновлення від невеликої української компанії, що займається бухгалтерським програмним забезпеченням. Та оскільки NotPetya був хробаком, він також використовував уразливості іншого програмного забезпечення для поширення. Для імітації програм-викупів, наприклад, шифрування файлів, надання біткойн-адреси для оплати та повідомлення про викуп, довелося чимало зусиль. Однак насправді це був Wiper, який просто знищив дані. Його приписували групі Sandworm, яка пов’язана з головним управлінням генерального штабу збройних сил рф, яке часто називають ГРУ.

Саморозмноження

Як і у випадку з NotPetya, важливою властивістю вірусів Wiper є те, чи вони саморозповсюджуються. Якщо це хробак, такий як NotPetya, він самостійно пошириться на інші машини, як тільки його випустять. У такому випадку не обов’язково більше контролювати їх.

Існує кілька способів саморозповсюдження шкідливих програм, використовуючи:

вразливості мережевих служб;
збір облікових даних на заражених машинах та використання їх для підключення до інших машин у мережі;
законні способи переходу з одного пристрою на інший, наприклад процесів оновлення.

Це, звичайно, не означає, що шкідливе програмне забезпечення, що не саморозповсюджується, не може бути руйнівним. Якщо контролер домену зламано в мережі, його можна використовувати для розгортання Wiper на всіх машинах в організації. Основна відмінність полягає в тому, що зловмисне програмне забезпечення, що саморозповсюджується, неможливо контролювати після того, як воно було випущено.

Методи Wiper

Перезапис файлів

Найпростіший підхід для вірусів Wiper — це просто перерахувати файлову систему та перезаписати вибрані файли даними. Як зазначають фахівці FortiGuard Labs, Ordinypt використовував цей підхід, перезаписуючи файли з нульовими (0×00) байтами.

Іншим хорошим прикладом є Wiper WhisperGate, задіяний проти українських організацій на початку цього року. Він також прикидався програмним забезпеченням-вимагачем, хоча файли не можна відновити.

Щоб запустити шкідливу діяльність, вірус мав різні етапи та компоненти. На певному етапі (stage2.exe) вірус завантажував компонент пошкодження файлів із жорстко закодованого каналу Discord. Цей компонент проходить через певні папки, шукаючи файли з розширеннями файлів, жорстко закодованими у зловмисному програмному забезпеченні з різними файлами даних. Зловмисне програмне забезпечення замінює вміст файлів 1 МБ байтів 0xCC і додає 4-символьне випадкове розширення.

Шифрування файлів

Як згадувалося раніше, шифрування файлу та знищення ключа по суті еквівалентно знищенню файлу. Звичайно, можна спробувати відновити файл за допомогою грубої сили, але якщо використовуються належні алгоритми шифрування, цей підхід є цілком безнадійним.

Шифрування, а не просто перезапис, є дуже ресурсомістким і уповільнює роботу шкідливого програмного забезпечення. Єдиний випадок використання шифрування в Wiper — це коли автори хочуть якомога довше зберегти вигляд програм-вимагачів. Так було з NotPetya, яка правильно шифрувала файли.

Перезапис MBR

Багато віпусів Wiper також обов’язково перезаписують головний завантажувальний запис (MBR) диска. Ця частина диска повідомляє комп’ютеру, як завантажити операційну систему. Якщо MBR знищено, комп’ютер не запуститься. Однак це не означає, що дані на жорсткому диску були знищені. Якщо пошкоджено лише MBR, дані все ще можна відновити. Сам по собі він може бути використаний лише для створення хаосу та плутанини, але без фактичної втрати даних. Тому його зазвичай використовують разом з іншими методиками.

Наприклад, шкідливе програмне забезпечення ZeroCleare, яке використовувалося проти енергетичних компаній на Близькому Сході у 2019 році, також використовувало цю техніку. Він використовував сторонній інструмент керування драйверами EldoS RawDisk для прямого доступу до жорстких дисків, минаючи механізми захисту операційної системи (ОС). Замість того, щоб перезаписувати файли на рівні ОС, ZeroCleare перезаписує диски безпосередньо на 0×55 байт. Це, звичайно, починається з MBR і продовжується з усіма розділами. Дуже розумна техніка полягає в тому, що він обійшов систему контролю підпису драйверів Windows (DSG), яка захищає Windows від завантаження непідписаних драйверів (драйвер RawDisk). Спершу він завантажив загальнодоступний відомий уразливий підписаний драйвер VirtualBox. Потім він використав уразливість у цьому законному драйвері для завантаження непідписаного драйвера RawDisk. Як тільки це сталося, він отримав прямий доступ до дисків у машині.

Перезапис MFT

MFT означає головну таблицю файлів, і вона існує в кожній файловій системі NTFS. По суті, це каталог усіх файлів, які існують у файловій системі, їх метаданих, а також вміст файлу або розташування, де зберігається вміст файлу. Якщо MFT пошкоджено, операційна система не зможе знайти файли. Це дуже простий і швидкий спосіб зловмисного програмного забезпечення для видалення файлів. Єдиний недолік подібний до пошкодження MBR: вміст файлу не обов’язково знищується. У той час як кілька файлів, що зберігаються безпосередньо в MFT, будуть стерті, більшість файлів зберігаються в іншому місці на диску, а MFT лише надає їхнє розташування ОС. Без MFT ОС не зможе знайти вміст, але вміст все ще залишається на диску.

Захоплюючий приклад — знову NotPetya. Він замінив MBR цільової машини за допомогою спеціального завантажувача та зберіг користувацький низькорівневий код, який називав цей завантажувач. Цей код зашифрував MFT під час першого перезавантаження після зараження. Після того, як MFT було зашифровано, він змушував машину перезавантажитися. Після цього другого перезавантаження пристрій більше не завантажуватиметься, а відображатиме лише повідомлення про викуп.

NotPetya записка про викуп (фото FORTINET)

Використання IOCTL

IOCTL — це інтерфейс керування введенням і виводом пристрою в Windows. Функція DeviceIoControl () — це інтерфейс загального призначення, який використовується для надсилання керуючих кодів на пристрої. По суті, керуючі коди є операціями, які виконує драйвер пристрою. Шкідливе програмне забезпечення використовує цей інтерфейс для збору інформації про диски, призначені для фактичного очищення.

Вірус HermeticWiper використовував IOCTL для наступних цілей:

ускладнення відновлення файлі, код IOCTL FSCTL_GET_RETRIEVAL_POINTERS і FSCTL_GET_MOVE_FILES.
розбору вмісту для визначення частин, які підлягають знищенню, коди IOCTL_DISK_GET_DRIVE_LAYOUT_EX та IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.
збір зайнятих кластерів, щоб підготувати їх для стирання, коди IOCTL FSCTL_GET_VOLUME_BITMAP та FSCTL_GET_VOLUME_BITMAP.
завантаження запису з файлової системи NTFS, код FSCTL_GET_NTFS_FILE_RECORD.

Після того, як HermeticWiper збирає всі дані, він використовує драйвер EaseUS Partition Master для перезапису вибраних частин диска випадковими даними.

Інструменти сторонніх розробників

Шкідливі програми іноді використовують сторонні інструменти для перезапису даних. Зазвичай це драйвер Windows для готових продуктів, щоб обійти механізми захисту Windows і безпосередньо керувати дисками.

Зловмисники не використовують сторонні драйвери по-перше через те, що на написання власного хорошого драйверу потрібно багато часу, поганий же «ввімкне систему охорони» та призведе до розслідування. По-друге в сучасних системах Windows дозволяється завантажувати лише підписані драйвери, тобто, для завантаження власного драйверу, потрібно було б обійти цей механізм безпеки.

Тому віруси найчастіше діють за сценарієм, як ZeroCleare, який спочатку завантажує підписаний, але вразливий драйвер, а потім використовує цю вразливість для завантаження непідписаного драйвера.

Приклади інструментів сторонніх розробників:

EldoS RawDisk, використовуваний очисниками Shamoon і ZeroCleare;
Lazarus Group використовуваний в їх сумнозвісному злом Sony.
EaseUS Partition Master використовується HermeticWiper.

Загалом більшість вірусів Wiper використовують не лише одну техніку, а комбінацію. Чим складніше зловмисне програмне забезпечення, тим більше методів воно потребує. І, звичайно, чим більше методів використовується, тим нижча ймовірність того, що дані можна відновити.