Experti analyzovali kyberútoky na Ukrajinu, prvý prišiel hodiny pred inváziou

Spomínaný malvér sa sám vymaže z disku prepísaním vlastného súboru náhodnými dátami. V skompromitovaných sieťach sa množí prostredníctvom vlastného červa - HermeticWizard. Cieľom útoku je zmazanie užívateľských dát. Tomuto kyberútoku podľa odborníkov predchádzali DDoS útoky na veľké ukrajinské webové stránky. „Vzorky malvéru naznačujú, že útoky boli plánované niekoľko mesiacov,“ skonštatovali experti spoločnosti. DDoS útoky sa vyznačujú tým, že spôsobujú čiastočné i úplné znefunkčnenie sieťovej či IT služby.

Počas štvrtka 24. februára došlo k druhému útoku na ukrajinskú vládnu sieť cez malvér, ktorému experti vymysleli názov IsaacWiper. Existenciu prepojenia medzi týmito dvoma malvérmi odborníci preverujú.

Výskumníci spoločnosti však s vysokou pravdepodobnosťou odhadujú, že zasiahnuté organizácie boli skompromitované už dlhšie pred zavedením „wipera“. Usudzujú to na základe najstaršieho časového odtlačku HermeticWiper, ktorý pochádza ešte z konca minulého roka, pričom k vydaniu digitálneho certifikátu došlo už vlani v apríli. Pri malvéri IsaasWiper zase najstarší odtlačok pochádza z 19. októbra minulého roka.

Experti upozornili na jednu zvláštnosť v postupe kyberútočníkov v spojitosti s malvérom IsaacWiper. Len deň po jeho nasadení použili útočníci jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení. „To môže naznačovať, že sa útočníkom nepodarilo vymazať obsah z niektorých zasiahnutých zariadení a chceli zistiť, prečo neboli úspešní,“ predpokladajú odborníci.

Výskumníci sa domnievajú, že útočníkom sa podarilo dostať digitálny certifikát od spoločnosti DigiCert tak, že sa vydávali za firmu. Experti už požiadali DigiCert, aby tento certifikát okamžite zrušil.