Спецпроекты

Безопасность Пользователю Стратегия безопасности Техника

Таинственный новый троян надежно удаляет файлы с дисков на Украине

Эксперты ESET в конце января 2023 г. выявили хакерскую атаку на Украинские инфосистемы при помощи утилиты SwiftSlicer. Она запускает очень надежный алгоритм удаления важных системных файлов на ПК с Windows с минимальной возможностью восстановления. Утилита написана на Golang – фирменном языке Google, который интернет-гигант разрабатывает с 2007 г.

Массовая кибератака

В Сети выявлено новое вредоносное ПО SwiftSlicer для принудительного удаления данных на компьютерах под Windows. Обнаружившая его компания ESET, автор известного антивируса NOD32, считает, что этот софт использовался в ходе недавней массированной кибератаки на Украину.

ESET ушла из России в марте 2022 г. в знак поддержки санкций. Ее эксперты полагают, что софт SwiftSlicer использовался для атаки на Украину хакерской группировкой Sandworm.

Как пишет профильный портал Bleeping Computer, группе Sandworm приписывают связь с на Главным разведывательным управлением (ГРУ) Генерального штаба России, в частности, с войсковой частью 74455 Главного центра специальных технологий (ГЦСТ). Никаких подтверждений этому нет.

Темная история

Специалисты ESET обнаружили атаку при помощи SwiftSlicer 25 января 2023 г. Они не сообщают, на кого именно она была направлена – это могли быть как обычные пользователи, так и конкретные организации. Количество пострадавших в результате этой атаке тоже не раскрывается.

Хакеры могут в любой момент найти новую цель для SwiftSlicer, не обязательно на Украине

Не исключено, что основной целью хакеров были в первую очередь организации. По данным Bleeping Computer, недавняя атака Sandworm затронула, в том числе, национальное информационное агентство Украины «Укринформ».

В ESET сообщают, что хакеры запустили SwiftSlicer на компьютерах жертв с использованием групповой политики Active Directory, которая позволяет администраторам домена выполнять сценарии и команды на всех устройствах в сети Windows. Исследователи компании утверждают, что SwiftSlicer был развернут для удаления теневых копий и перезаписи важных файлов в системном каталоге Windows, в частности, драйверов и базы данных Active Directory.

Восстановить файлы после того, как на накопителе поработал SwiftSlicer, почти невозможно. Утилита перезаписывает данные, используя блоки по 4096 байт (4 КБ), которые заполняются случайно сгенерированными битами и байтами. В финале программа перезагружает компьютер, на котором работала.

Гарантия выполненной работы

Как пишет Bleeping Computer, при атаке как минимум на компьютеры «Укринформ», хакеры из Sandworm использовали «коктейль» из шести вредоносных утилит. Предназначение каждой из них – удаление данных с накопителя.

Для чего злоумышленникам нужна была такая перестраховка, остается загадкой. Возможно, ответ кроется в выборе программ, из которых лишь четыре работают под Windows.

Хакеры провели атаку при помощи Windows-утилит CaddyWiper, ZeroWipe и SDelete в дополнение к упомянутой SwiftSlicer. Также использовались утилиты BidSwipe под FreeBSD и AwfulShred для Linux.

В опасности каждый

Хакеры Sandworm, согласно информации из открытых источников, обладает внушительным опытом кибератак. В частности, осенью 2022 г. они провели серию выпадов при помощи нового вымогателя Prestige. Целями были выбраны транспортные и логистические компании Украины и Польши.

В теории, используемые группой Sandworm могут быть использованы против любого пользователя интернета. Но многие из них уже есть в базах данных антивирусов. Например, SwiftSlicer была добавлена в VirusTotal 26 января 2023 г. Менее чем через неделю программу научились обнаруживать 43 из 70 антивирусных систем, которые анализирует VirusTotal. В их числе и продукция отечественной «Лаборатории Касперского»

Как Google помогает хакерам

Утилита SwiftSlicer, согласно информации ESET была создана при участии корпорации Google, хотя и косвенно. Разработчики написали этот малварь на языке Go, он де Golang, который создан в недрах Google.

Релиз первой стабильной версии Golang состоялся в ноябре 2009 г., спустя два года после начала работы над ним. Google продолжает развивать и совершенствовать его на протяжении более 13 лет. За этот немалый по меркам языков программирования срок Go дорос до версии 1.19.5, датированной 10 января 2023 г.

В последние годы Golang стал одним из любимейших языков программистов, создающих именно вредоносное ПО. Он покорил их в первую очередь своей универсальностью – написанный на нем код может быть скомпилирован почти для всех платформ и оборудования.

CNews писал, что киберпреступники отдают предпочтение не только Go, но также языкам D (Dlang), Nim и Rust. Однако, судя по всему, из этой четверки больше всего им нравится именно Rust. Хакеры действительно способствуют росту популярности всего квартета, но за год Golang поднялся в рейтинге Tiobe с 13 на 12 места, тогда как Rust взлетел с 26 на 18. Dlang находится на 46 месте, а Nim не входит в топ-50.

Евгений Черкесов

Короткая ссылка