L’Ucraina ha subito un nuovo attacco informatico da parte della Russia che ha coinvolto l’impiego di un wiper di dati basato su Golang, precedentemente non documentato, chiamato SwiftSlicer. ESET ha attribuito l’attacco a Sandworm, un gruppo di Stati-nazione collegato all’Unità militare 74455 della Direzione principale dell’intelligence dello Stato maggiore delle Forze armate della Federazione russa (GRU).
“Una volta eseguito, cancella le copie shadow, sovrascrive ricorsivamente i file situati in %CSIDL_SYSTEM%\driver, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e altre unità non di sistema e poi riavvia il computer”, ha rivelato ESET in una serie di tweet.
Le sovrascritture vengono effettuate utilizzando sequenze di byte generate casualmente per riempire blocchi di 4.096 byte. L’intrusione è stata scoperta il 25 gennaio 2023, ha aggiunto la società slovacca di cybersicurezza. Sandworm, rintracciato anche con i moniker BlackEnergy, Electrum, Iridium, Iron Viking, TeleBots e Voodoo Bear, ha una storia di campagne informatiche dirompenti e distruttive che colpiscono organizzazioni in tutto il mondo almeno dal 2007.
La sofisticazione dell’attore della minaccia è evidenziata dalle sue molteplici catene di morte distinte, che comprendono un’ampia varietà di strumenti personalizzati come BlackEnergy, GreyEnergy, Industroyer, NotPetya, Olympic Destroyer, Exaramel e Cyclops Blink.
Solo nel 2022, in coincidenza con l’invasione militare dell’Ucraina da parte della Russia, Sandworm ha scatenato WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige e RansomBoggs contro le infrastrutture critiche in Ucraina. “Se ci pensate, la crescita del malware wiper durante un conflitto non è certo una sorpresa”, ha dichiarato Geri Revay, ricercatore dei FortiGuard Labs di Fortinet, in un rapporto pubblicato questa settimana. “È difficile monetizzarlo. L’unico caso d’uso praticabile è la distruzione, il sabotaggio e la guerra informatica”.
La scoperta di SwiftSlicer evidenzia l’uso costante di varianti di malware wiper da parte del collettivo di avversari russi negli attacchi progettati per creare scompiglio in Ucraina.
Lo sviluppo arriva anche quando il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato Sandworm a un recente attacco informatico, in gran parte fallito, all’agenzia di stampa nazionale Ukrinform. L’intrusione, che si sospetta sia stata effettuata non più tardi del 7 dicembre 2022, ha comportato l’utilizzo di cinque diversi programmi di cancellazione dei dati, ovvero CaddyWiper, ZeroWipe, SDelete, AwfulShred e BidSwipe, mirati ai sistemi Windows, Linux e FreeBSD. “È stato stabilito che la fase finale dell’attacco informatico è stata avviata il 17 gennaio 2023”, ha dichiarato il CERT-UA in un avviso. “Tuttavia, ha avuto un successo solo parziale, in particolare in relazione a diversi sistemi di archiviazione dati”.
Sandworm non è l’unico gruppo che ha messo gli occhi sull’Ucraina. Altri attori russi sponsorizzati dallo Stato, come APT29, COLDRIVER e Gamaredon, hanno attivamente preso di mira una serie di organizzazioni ucraine dall’inizio della guerra.
