حدد باحثو الأمن برنامجًا ضارًا جديدًا لمسح البيانات أطلقوا عليه اسم SwiftSlicer والذي يهدف إلى كتابة الملفات المهمة المستخدمة في نظام التشغيل Windows.
تم اكتشاف البرنامج الضار الجديد في هجوم سيبراني حديث ضد هدف في أوكرانيا ونسب إلى Sandworm، وهي مجموعة قرصنة تعمل في مديرية الاستخبارات الرئيسية للأركان العامة الروسية (GRU) كجزء من المركز الرئيسي للتقنيات الخاصة (GTsST) الوحدة العسكرية 74455.
مسح البيانات Go-based
في حين أن التفاصيل قليلة فيما يتعلق بـ SwiftSlicer في الوقت الحالي، يقول باحثو الأمن في شركة الأمن السيبراني ESET إنهم وجدوا البرامج الضارة المدمرة المنتشرة خلال هجوم سيبراني في أوكرانيا.
لم يتم نشر اسم الهدف، يشمل نشاط Sandworm الأخير هجومًا لمسح البيانات على Ukrainform، لوكالة الأنباء الوطنية الأوكرانية.
ومع ذلك، في الهجوم السيبراني الذي اكتشفته ESET في 25 يناير، أطلق الهاكرز برنامجًا ضارًا مدمرًا مختلفًا يسمى CaddyWiper، والذي لوحظ سابقًا في هجمات أخرى على أهداف أوكرانية [1، 2].
تقول ESET أن Sandworm أطلقت SwiftSlicer باستخدام Active Directory Group Policy، والتي تسمح لمسؤولي المجال بتنفيذ النصوص والأوامر عبر جميع الأجهزة في شبكة Windows.
يقول باحثو ESET إنه تم نشر SwiftSlicer لحذف نسخ الظل والكتابة فوق الملفات الهامة في دليل نظام Windows، وتحديداً الدرايفرات وقاعدة بيانات الدلائل النشيطة Active Directory's.
يشير الاستهداف المحدد لمجلد CSIDL _ SYSTEM _ DRIVE %\Windows\NTDS إلى أن المسح لا يهدف فقط إلى تدمير الملفات ولكن أيضًا لإسقاط نطاقات Windows بأكملها.
يكتب SwiftSlicer البيانات باستخدام كتل 4096 بايت مليئة بالبايت الذي تم إنشاؤه بشكل عشوائي. يقول باحثو ESET إنه بعد الانتهاء من مهمة تدمير البيانات، تعيد البرامج الضارة تشغيل الأنظمة.
وفقًا للباحثين، طورت Sandworm SwiftSlicer بلغة برمجة Golang، والتي تم تبنيها من قبل العديد من الهاكرز لتعدد استخداماتها، ويمكن تجميعها لجميع المنصات والأجهزة.
على الرغم من إضافة البرنامج الضار إلى قاعدة بيانات Virus Total مؤخرًا فقط (تم تقديمه في 26 يناير)، إلا أنه يتم اكتشافه حاليًا بواسطة أكثر من نصف محركات مكافحة الفيروسات الموجودة على منصة المسح.
البرامج الضارة المدمرة لروسيا
في تقرير اليوم، قال فريق الاستجابة للطوارئ الحاسوبية الأوكراني (CERT-UA) إن Sandworm حاولت أيضًا استخدام خمسة مرافق لتدمير البيانات على شبكة وكالة الأنباء الأوكرانية:
CaddyWiper (ويندوز)
ZeroWipe (ويندوز)
SDelete (أداة مشروعة لنظام التشغيل Windows)
AwfulShred (لينكس)
BidSwipe (FreeBSD)
كشف تحقيق الوكالة أن SandWorm وزعت البرامج الضارة على أجهزة الكمبيوتر على الشبكة باستخدام كائن سياسة المجموعة (GPO) - وهي مجموعة من القواعد التي يستخدمها المسؤولون لتكوين أنظمة التشغيل والتطبيقات وإعدادات المستخدم في بيئة الدليل النشط، وهي نفس الطريقة المستخدمة أيضًا لتنفيذ SwiftSlicer.