Michal Cebák

Bezpečnostní analytik společnosti ESET

Na základě prvních analýz vidíme jasnou souvislost s útoky na ukrajinskou rozvodnou síť z roku 2016, jejichž následkem došlo k masivním výpadkům elektřiny. Nyní byly použity inovované útočné nástroje, zejména malware Industroyer v nové verzi, ale pachatel byl s největší pravděpodobností totožný - ruskojazyčná útočná skupina Sandworm, která je spojována s ruskou zpravodajskou službou GRU.

Kromě Industroyeru2 byly pro útok použity další škodlivé kódy. Detekovali jsme vzorky malware zahrnující mimo jiné i CaddyWiper, se kterým jsme se setkali při útocích na ukrajinské finanční instituce v polovině března.

V tuto chvíli nevíme, jak přesně došlo k infikování napadené organizace, to je předmětem dalšího vyšetřování.

CaddyWiper je podobný již dříve detekovaným škodlivým kódům HermeticWiper a IsaacWiper a i v tomto případě analýza naznačuje, že dotčené organizace byly napadeny v minulosti. Díky tomu bylo možné malware, který byl mimochodem zkompilován jen několik hodin před naší detekcí, pro útok použít.

S ohledem na všechny tyto zjištěné informace nemůžeme ani vyloučit scénář, že CaddyWiper byl v tomto případě využit jinými útočníky než v případě kybernetických útoků v prvních dnech války.

I v tomto případě byl wiper nasazen prostřednictvím GPO, tedy standardního mechanizmu pro hromadnou konfiguraci operačního systému Windows i aplikací v prostředích s adresářovou službou Active Directory.

Což znamená, že útočníci museli již předtím převzít kontrolu nad samotným serverem s Active Directory službou. Ta mimo jiné také zajišťuje v počítačové síti autentizaci a autorizaci uživatelů.

Pokud jde o IsaacWiper, v současné době vyhodnocujeme jeho případné propojení s HermeticWiperem. Je důležité poznamenat, že byl detekován v souvislosti s ukrajinskou vládní organizací, která nebyla zasažena HermeticWiperem.

Postižené organizace byly kompromitovány s dostatečným předstihem ještě před nasazením wiperu - toto naše tvrzení podporuje několik dalších zjištění, jako jsou časové značky kompilace spustitelného souboru obsahujícího HermeticWiper, z nichž nejstarší je z 28. 12. 2021, data vydání certifikátu pro podpis kódu z 13. dubna 2021 a v jednom zjištěném případě také nasazení malwaru HermeticWiper prostřednictvím výchozí doménové politiky.

Všechny tyto parametry a skutečnosti naznačují, že útočníci již měli přístup k jednomu ze serverů Active Directory, které patřily oběti.

První vzorky jsme zachytili ve středu 23. 2. 2022 v 16:52 místního času. Z analýzy malwaru vyplynulo, že vzniknul již 28. 12. 2021, z čehož lze vyvodit, že útok byl připravován poslední dva měsíce.

V jedné z organizací, které byly cílem útoku, byl wiper nasazen prostřednictvím výchozího GPO - Group Policy Management, což znamená, že útočníci převzali kontrolu nad serverem Active Directory, který zajišťuje v počítačové síti autentizaci a autorizaci uživatelů, počítačů i další služby.