針對烏克蘭的數據擦除攻擊盛行

• 昨日，歐洲中部的安全廠商ESET發布報告，披露了一款針對烏克蘭組織進行數據擦除“破壞式”攻擊的惡意軟件樣本CaddyWiper，已經影響了少量組織；
• 這是今年以來公開披露的第四款針對烏克蘭的數據擦除惡意軟件，前三款分別是WhisperGate(1月中旬)、HermeticWiper(2月23日)、IssacWiper(2月24日)，每次數據擦除攻擊都伴隨著大規模網絡攻擊或軍事行動。

3月14日，研究人員再次發現針對烏克蘭組織目標的數據破壞惡意軟件CaddyWiper，能在受感染網絡中跨系統執行數據刪除。

ESET研究實驗室解釋稱，“這種新型惡意軟件會刪除所連接驅動器內的用戶數據與分區信息。”

“ESET遙測數據顯示，目前已經有少量組織的幾十個系統中出現該惡意軟件的身影。”

 全新惡意樣本，編譯完就被用于攻擊

雖然設計目標是在所部署的Windows域內擦除數據，但CaddyWiper惡意軟件會使用DsRoleGetPrimaryDomainInformation()函數來檢查目標設備是否屬于域控制器。如果是，則不會刪除該域控制器上的數據。

這種設計很可能是攻擊者設計的一種策略，即在目標組織的受感染網絡內保持訪問能力的前提下，不斷擦除其他關鍵設備上的數據以干擾正常運營。

研究人員在某烏克蘭組織的網絡中發現了惡意軟件樣本。他們進行逆向分析時發現，該惡意軟件當天剛剛編譯完成，就馬上被用于發動攻擊。

Caddywiper的編譯日期為3月14日

ESET還表示，“CaddyWiper與此前披露的數據擦除軟件HermeticWiper、IssacWIper或者任何其他惡意軟件，均沒有明顯的代碼相似性。我們手上的分析樣本也沒有經過數字簽名。”

“與HermeticWiper的部署方式類似，我們觀察到CaddyWiper也是通過GPO部署的，這表明攻擊者已經事先控制了目標網絡。”

 今年第四次，針對性數據擦除攻擊

自今年年初以來，針對烏克蘭的攻擊活動中已經先后出現四種數據擦除惡意軟件，除最新成員CaddyWiper外，其他有兩種還是ESET研究實驗室的分析人員發現，另外一種則被微軟發現。

2月23日，就在俄羅斯軍事攻擊烏克蘭的前一天，ESET研究人員發現一種被命名為HermeticWiper的數據擦除惡意軟件。此惡意軟件與勒索軟件誘餌配合，共同被用于向烏克蘭發動攻勢。

2月24日，俄羅斯軍事攻擊烏克蘭當天，ESET研究人員又發現了另一種被命名為IssacWiper的數據擦除程序，以及HermeticWizard新型蠕蟲病毒(用于傳播HermeticWiper的有效載荷)。

微軟發現的是被命名為WhisperGate的擦除程序。這款惡意軟件曾在今年1月中旬被用于向烏克蘭發動數據擦除攻擊，還將自身偽裝成勒索軟件。

微軟公司總裁Brad Smith表示，這些針對烏克蘭組織發動破壞性攻擊的惡意軟件“目標精確”。

此情此景，不禁讓人聯想到2017年曾對烏克蘭等多國造成巨大影響的NotPetya惡意軟件。事后歸因認為，那場攻擊與俄羅斯GRU相關的黑客組織Sandworm有關。

烏克蘭安全局(SSU)在俄烏沖突爆發前表示，這類破壞性攻擊屬于“大規模混合戰爭”的組成部分。