截至 2023 年 1 月 27 日，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT-UA) 在該國(guó)國(guó)家新聞機(jī)構(gòu) (Ukrinform) 的網(wǎng)絡(luò)上發(fā)現(xiàn)了五種不同的數(shù)據(jù)擦除惡意軟件組合，其功能旨在破壞信息的完整性和可用性（寫(xiě)入零字節(jié)/任意數(shù)據(jù)的文件/磁盤(pán)及其隨后的刪除）。

在針對(duì) Ukrinform 的攻擊中部署的破壞性惡意軟件列表包括 CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux) 和 BidSwipe (FreeBSD)。

攻擊者使用 Windows 組策略 (GPO) 啟動(dòng)了 CaddyWiper 惡意軟件，由此可表明他們事先已經(jīng)破壞了目標(biāo)的網(wǎng)絡(luò)。

正如 CERT-UA 在調(diào)查期間發(fā)現(xiàn)的那樣，攻擊者在 12 月 7 日左右獲得了對(duì) Ukrinform 網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限，并等待了一個(gè)多月才釋放惡意軟件。

然而，他們?cè)噲D清除新聞機(jī)構(gòu)系統(tǒng)中所有數(shù)據(jù)的嘗試失敗了。擦除器僅成功銷(xiāo)毀了“幾個(gè)數(shù)據(jù)存儲(chǔ)系統(tǒng)”上的文件，這并未影響 Ukrinform 的運(yùn)營(yíng)。

CERT-UA 強(qiáng)調(diào)網(wǎng)絡(luò)攻擊只是部分成功，特別是在有限數(shù)量的數(shù)據(jù)存儲(chǔ)系統(tǒng)方面。

與俄羅斯沙蟲(chóng)軍事黑客有關(guān)的網(wǎng)絡(luò)攻擊

CERT-UA 上周將此次攻擊與 Sandworm 威脅組織聯(lián)系起來(lái)，該組織是俄羅斯主要情報(bào)局 (GRU) 74455 軍事部隊(duì)的黑客組織，Sandworm 曾在4 月份針對(duì)一家大型烏克蘭能源供應(yīng)商的另一次失敗攻擊中使用了 CaddyWiper 數(shù)據(jù)擦除器。

在那次攻擊中，俄羅斯黑客使用了類(lèi)似的策略，部署 CaddyWiper 來(lái)清除 Industroyer ICS 惡意軟件留下的痕跡，以及其他三個(gè)為 Linux 和 Solaris 系統(tǒng)設(shè)計(jì)的擦除器，并被跟蹤為 Orcshred、Soloshred 和 Awfulshred。

自 2022 年 2 月俄烏戰(zhàn)爭(zhēng)以來(lái)，除了 CaddyWiper 之外，烏克蘭目標(biāo)網(wǎng)絡(luò)上還部署了多種數(shù)據(jù)擦除惡意軟件，包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate和AcidRain 等。

此外，微軟和斯洛伐克軟件公司 ESET 也表示最近針對(duì)烏克蘭的勒索軟件攻擊與 Sandworm 黑客組織有關(guān)。

參考鏈接：https://www.bleepingcomputer.com/news/security/ukraine-sandworm-hackers-hit-news-agency-with-5-data-wipers/