Sandworm, affiliato alla Russia, ha utilizzato un altro ceppo di malware wiper, denominato NikoWiper, nell’ambito di un attacco avvenuto nell’ottobre del 2022 contro un’azienda del settore energetico in Ucraina. “NikoWiper è basato su SDelete, un’utility a riga di comando di Microsoft utilizzata per l’eliminazione sicura dei file”, ha rivelato la società di cybersicurezza ESET nel suo ultimo APT Activity Report condiviso con The Hacker News. L’azienda slovacca di cybersicurezza ha affermato che gli attacchi hanno coinciso con attacchi missilistici orchestrati dalle forze armate russe e diretti all’infrastruttura energetica ucraina, suggerendo una sovrapposizione di obiettivi. La rivelazione arriva pochi giorni dopo che ESET ha attribuito Sandworm a un data wiper basato su Golang, noto come SwiftSlicer, distribuito contro un’entità ucraina senza nome il 25 gennaio 2023.
Il gruppo di minacce persistenti avanzate (APT) collegato all’agenzia di intelligence militare straniera russa GRU è stato anche coinvolto in un attacco parzialmente riuscito che ha preso di mira l’agenzia di stampa nazionale Ukrinform, distribuendo ben cinque diversi wipers su macchine compromesse. Il Computer Emergency Response Team of Ukraine (CERT-UA) ha identificato le cinque varianti di wiper come CaddyWiper, ZeroWipe, SDelete, AwfulShred e BidSwipe. Le prime tre hanno preso di mira i sistemi Windows, mentre AwfulShred e BidSwipe hanno preso di mira i sistemi Linux e FreeBSD. L’uso di SDelete è notevole, in quanto suggerisce che Sandworm abbia sperimentato l’utility come wiper in almeno due casi diversi per causare danni irrevocabili alle organizzazioni prese di mira in Ucraina. Detto questo, Robert Lipovsky, ricercatore senior di malware per ESET, ha dichiarato a The Hacker News che “NikoWiper è un malware diverso”.
Oltre a utilizzare SDelete, le recenti campagne di Sandworm hanno sfruttato anche famiglie di ransomware su misura, tra cui Prestige e RansomBoggs, per bloccare i dati delle vittime dietro barriere di crittografia senza alcuna possibilità di recuperarli. Questi sforzi sono l’ultima indicazione che l’uso del malware wiper distruttivo è in aumento e viene sempre più adottato come arma informatica di scelta tra le crew di hacker russi. “I wiper non sono stati utilizzati in modo diffuso perché sono armi mirate”, ha dichiarato Dmitry Bestuzhev di BlackBerry a The Hacker News. “Sandworm ha lavorato attivamente allo sviluppo di wipers e famiglie di ransomware utilizzati esplicitamente per l’Ucraina”.
Non si tratta solo di Sandworm, poiché altre organizzazioni russe sponsorizzate dallo Stato come APT29, Callisto e Gamaredon si sono impegnate in sforzi paralleli per paralizzare le infrastrutture ucraine attraverso campagne di spear-phishing progettate per facilitare l’accesso a backdoor e il furto di credenziali. Secondo Recorded Future, che segue l’APT29 (alias Nobelium) sotto il nome di BlueBravo, l’APT è stata collegata a una nuova infrastruttura compromessa, probabilmente utilizzata come esca per fornire un loader di malware con il nome in codice GraphicalNeutrino.
Il loader, la cui funzione principale è quella di distribuire malware successivo, abusa dell’API di Notion per le comunicazioni di comando e controllo (C2) e della funzione di database della piattaforma per memorizzare le informazioni sulle vittime e mettere in scena i payload da scaricare. “Tutti i Paesi che hanno un legame con la crisi ucraina, in particolare quelli che hanno relazioni geopolitiche, economiche o militari chiave con la Russia o l’Ucraina, sono a maggior rischio di essere presi di mira”, ha dichiarato l’azienda in un rapporto tecnico pubblicato la scorsa settimana. Il passaggio a Notion, un’applicazione legittima per prendere appunti, sottolinea il “crescente ma continuo utilizzo” da parte di APT29 di servizi software popolari come Dropbox, Google Drive e Trello per mescolare il traffico di malware ed eludere il rilevamento. Sebbene non sia stato rilevato alcun malware di seconda fase, ESET – che ha anche trovato un campione del malware nell’ottobre 2022 – ha ipotizzato che fosse “finalizzato al recupero e all’esecuzione di Cobalt Strike”.
Le scoperte arrivano anche a ridosso delle dichiarazioni della Russia, che ha affermato di essere stata il bersaglio dell'”aggressione coordinata” dell’Occidente nel 2022 e di aver affrontato “attacchi informatici esterni senza precedenti” da parte di “agenzie di intelligence, società informatiche transnazionali e hacktivisti”. Mentre la guerra russo-ucraina entra ufficialmente nel suo dodicesimo mese, resta da vedere come si evolverà il conflitto nel regno cibernetico. “Nell’ultimo anno abbiamo assistito a ondate di maggiore attività, come in primavera dopo l’invasione, in autunno e in mesi più tranquilli durante l’estate, ma nel complesso c’è stato un flusso quasi costante di attacchi”, ha detto Lipovsky. “Una cosa di cui possiamo essere certi è che assisteremo a un aumento degli attacchi informatici”.