JUSS OG SAMFUNN

Skadevare viser at angrepet på Ukraina har vært forberedt i flere måneder, mener cybersikkerhetsselskap

Ble skapt for to måneder siden.

Skader etter at en russisk missil landet i en gate i Kyiv i Ukraina i morgentimene torsdag.
Skader etter at en russisk missil landet i en gate i Kyiv i Ukraina i morgentimene torsdag. Foto: Valentyn Ogirenko/Reuters/NTB
Harald BrombachHarald BrombachNyhetsleder
24. feb. 2022 - 10:25

Som ventet kom det omfattende cyberrelaterte forvarsler onsdag, i forkant av den russiske invasjonen av Ukraina, som for alvor startet i natt til torsdag. Først ble mange ukrainske nettsteder gjort utilgjengelige ved hjelp av nye distribuerte tjenestenektangrep. Like etter ble det oppdaget at en helt ny type «wiper»-skadevare, som trolig kun har som formål å slette data, ble brukt på mange ukrainske datamaskiner. 

Dette skriver cybersikkerhetsselskapet Eset i en serie med twittermeldinger:

Også Symantec har gjort tilsvarende observasjoner.

Telia Norge-sjef Stein-Erik Vellan på Inside Telecom-konferansen høsten 2021. Han mener 2023-resultatet er et sterkt årsresultat for Telia Norge.
Les også

17.000 færre mobilkunder

Skapt for nesten to måneder siden

Eset skriver at selskapet via rapporter fra PC-er med selskapets sikkerhetsprogramvare viser at den spesielle skadevaren har blitt registrert på flere hundre datamaskiner i Ukraina. 

Skadevaren ble første gang observert klokken 14.52 UTC. Et av de innsamlede eksemplarene av skadevaren viser at den ble kompilert, altså at kildekoden til programvaren ble gjort kjørbar,  28. desember 2021, noe Eset mener antyder at forberedelsene til angrepet har pågått i lang tid. 

Skadevaren utnytter legitime drivere fra programvaren EaseUS Partition Master til å korrumpere dataene, før den får datamaskinen til å starte på nytt. Skadevaren avhenger dog ikke av at driverne er installert fra før. De blir installert av skadevaren dersom den mangler.

I alle fall ved én av de rammede virksomhetene har skadevaren blitt installert ved hjelp av det vanlige GPO-et (Group Policy Object), noe som tyder på at angriperne også har tatt kontroll over virksomhetens Active Directory. 

HermeticWiper

Etter diskusjoner mellom kolleger i andre selskaper har den nye skadevaren fått navnet HermeticWiper. Bakgrunnen for navnet er at den er signert med et sertifikat som er utstedt til et selskap med navnet Hermetica Digital Ltd, som skal høre hjemme i Nikosia på Kypros. 

En mer teknisk gjennomgang av skadevaren er tilgjengelig her.

Bildet viser deler av påske-forsendelsen med drøyt 250 brukte PC-er til skolebarn i Ukraina.
Les også

Har samlet inn hundrevis av PC-er til skolebarn i Ukraina: Trenger mye mer

Bare en forsmak?

Ifølge Associated Press har HermeticWiper også blitt observert hos i alle fall to selskaper som holder til i henholdsvis Latvia og Litauen, som begge er Nato-land. Selskapene skal ha jobbet tett med ukrainske myndigheter.

– Angriperne har gått etter disse målene uten å bry seg mye om hvor de er fysisk lokalisert, sier Vikram Thakur, teknisk direktør i Symantec Threat Intelligence, til Associated Press.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

Til det samme nyhetsbyrået sier Chester Wisniewski, en forsker hos IT-sikkerhetsselskapet Sophos, at Russland trolig har planlagt cyberangrep i måneder, noe som gjør det vanskelig å si hvor mange etater og virksomheter som faktisk har blitt kompromittert med bakdører. 

Wisniewski gjetter på at skadevaren som nå har blitt avdekket, bare er en melding fra Kreml om at de har kompromittert betydelige deler av den ukrainske infrastrukturen, og at det som så langt har blitt avdekket, bare er små smakebiter på hvor allestedsnærværende penetrasjonen egentlig er. 

Videoen i tvitringen nedenfor er trolig av det samme missilet som omtales i bildeteksten i toppen av saken.

Figure lager roboter som selskapet håper vil erstatte mennesker i fremtiden. Denne er i ferd med å lage en kopp kaffe på egen hånd.
Les også

Ny satsing: Nå skal OpenAI bygge fremtidens roboter

 

 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.