محققان امنیتی می گویند هکرها از SwiftSlicer Wiper برای از بین بردن فایل های ویندوز استفاده می کنند

محققان امنیت سایبری بدافزار جدیدی را شناسایی کرده اند که گفته می شود اوکراین را هدف قرار می دهد. بدافزار شناسایی شده توسط شرکت امنیت سایبری ESET قصد دارد فایل‌های مورد استفاده سیستم عامل ویندوز مایکروسافت را بازنویسی کند. محققان امنیتی گروهی به نام “کرم شنی” را عامل این حمله می دانند که بارها به انجام حملات سایبری متهم شده است. گفته می شود که تیم هک پاک کننده جدیدی به نام SwiftSlicer را با استفاده از Active Directory Group Policy مستقر کرده است. پس از اجرا، SwiftSlicer کپی‌های پنهان را حذف می‌کند، فایل‌ها را به‌طور متوالی روی درایوهای سیستم و غیرسیستم بازنویسی می‌کند و سپس کامپیوتر را مجدداً راه‌اندازی می‌کند.

شرکت امنیتی ESET اخیراً یک حمله سایبری علیه اوکراین کشف کرده است. این حمله به کرم شنی نسبت داده می شود و در 25 ژانویه رخ داد. گفته می شود این تیم یکی از گروه های هکری اداره اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (همچنین به عنوان GRU) شناخته می شود و اغلب به انجام حملات سایبری متهم می شود. بدافزار جدید به زبان برنامه نویسی Go نوشته شده است.

مهاجمان با استفاده از Active Directory Group Policy یک اسلایسر جدید را که ما آن را #SwiftSlicer نامیدیم، مستقر کردند. پاک کننده #SwiftSlicer به زبان برنامه نویسی Go نوشته شده است. ما این حمله را به #کرم شنی نسبت می دهیم، ESET آشکار کرد از طریق توییتر

محققان ESET توضیح که پاک کننده SwiftSlicer پس از اجرا، کپی های مخفی شده در سیستم ویندوز را حذف می کند. سپس بدافزار به صورت بازگشتی (به صورت متوالی) چندین فایل موجود در درایورهای سیستم و همچنین درایوهای غیر سیستمی را بازنویسی می کند و سپس کامپیوتر را مجددا راه اندازی می کند. به گفته ESET، برای رونویسی، از یک بلوک 4096 بایتی پر از بایت های تولید شده به طور تصادفی استفاده می کند.

به گفته تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA)، کرم شنی روسیه پنج حمله حذفی را علیه آژانس اطلاعات ملی اوکراین – Ukrinform انجام داد.

CERT-UA در انتشاری اعلام کرد که انواع CaddyWiper، ZeroWipe، SDelete، AwfulShred و BidSwipe را بر روی سیستم های این خبرگزاری نصب کرده است. از این میان، سه مورد اول سیستم های ویندوز را هدف قرار دادند، در حالی که AwfulShred و BidSwipe سیستم های لینوکس و FreeBSD را در Ukrinform هدف قرار دادند. این حمله تنها تا حدی موفقیت آمیز بود و بر فعالیت های خبرگزاری تأثیری نداشت.