Quanto sta accadendo fra Russia e Ucraina dal punto di vista militare sta trovando riscontro nel mondo Cyber. Da alcune settimane, precedenti alle operazioni militari, sono stati identificati diversi attacchi informatici nei confronti di aziende e istituzioni ucraine.

Gli attacchi individuati oggi sono di diverse tipologie:

  • attacchi DDoS, per rendere offline i siti e portali istituzionali ucraini
  • attacchi Ransomware e Wiper, per distruggere e sabotare le infrastrutture (HermeticWiper e Party Ticket)
  • attacchi Malware/Spyware/Trojan, per l’accesso alle infrastrutture (nessuna informazione pubblica)

Negli ultimi anni, i gruppi offensivi associati al governo russo, hanno dimostrato dimistichezza con altre tattiche offensive:

TatticheProcedure
Initial AccessOffice365 Brute force
Vulnerabilità VPN
E-Mail di Spearphishing
Credential AccessDump “ntds.dit” dal Domain Controller
DiscoveryBlodHound


Russia – Intelligence e gruppi APT

Informazioni pubbliche sul Wiper

Il nome del Wiper è dovuto al certificato che è stato utilizzato dal gruppo attaccante per la creazione del file eseguibile. Infatti, la società a cui è stato associato il certificato risulta essere Hermetica Digital Ltd (società fittizia o non più attiva). Il certificato è stato revocato dopo i primi report dell’analisi del malware:

Dettaglio della firma in un sample di HermeticWiper

Dinamica dell’attacco

Il Wiper è stato veicolato all’interno delle infrastrutture target tramite la creazione di una GPO (Group Policy Object) da Domain Controller, distribuendo in tal modo il codice malevolo sia su sistemi Server che Workstation.

Questo tipo di attacco richiede un precedente accesso all’infrastruttura:

  • per mezzo di Trojan
  • tramite accesso VPN
  • tramite vulnerabilità di sistemi perimetrali

In alcuni attacchi è stato osservato il deploy di un Ransomware (Party Ticket).

Dettagli – HermeticWiper

I primi sample di questo wiper sono stati identificati nel pomeriggio del 23 Febbraio; tuttavia, la data di compilazione dei file risale al 28 Dicembre 2021, probabile data di avvio della produzione degli strumenti per eseguire l’attacco.

La caratteristica principale del malware è quella di modificare i primi 512 byte del Master Boot Record (MBR) di tutti i dispositivi di archiviazione collegati in modo da impedire l’avvio del sistema a seguito del suo spegnimento.

Il malware crea temporaneamente un driver e un servizio di sistema, inoltre modifica alcune chiavi di registro, a titolo di esempio “SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled” con valore 0 per disabilitare i crash dump prima dell’esecuzione del driver.

Il driver utilizzato (empntdrv.sys) proviene da EaseUS Partition Manager (software lecito). Questo viene abusato per ottenere informazioni sulle partizioni e per poi avviare le attività di wiping.

Indicatori di Compromissione

HermeticWiperHash
Win32 EXEMD5:  84ba0197920fd3e2b7dfa719fee09d2f  
SHA1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77  
SHA256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
Win32 EXEMD5: 3f4a16b29f2f0532b7ce3e7656799125
SHA1: 61b25d11392172e587d8da3045812a66c3385451  
SHA256: 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
ms-compressedMD5
RCDATA_DRV_X64a952e288a1ead66490b3275a807f52e5
RCDATA_DRV_X86231b3385ac17e41c5bb1b1fcb59599c4
RCDATA_DRV_XP_X64095a1678021b034903c85dd5acb447ad
RCDATA_DRV_XP_X86eb845b7a16ed82bd248e395d9852f467
Trojan.KilldiskSHA256: a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e
RansomwareSHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382

Riferimenti