تم رصد برامج ضارة data-wiping malware جديدة تعمل على محو البيانات وهي تصيب مئات أجهزة الكمبيوتر في أوكرانيا أثناء غزو روسيا للبلاد.
بدأت شركات أمن تكنولوجيا المعلومات في ملاحظة البرامج الضارة يوم الأربعاء 23 فبراير قبل الغزو الروسي صباح الخميس. تم تصميم البرامج الضارة، التي يطلق عليها اسم HermeticWiper، لمحو أجهزة Windows وإفساد النظام، ومنع تحميل نظام التشغيل.
في رسالة بريد إلكتروني، قالت شركة الأمان ESET إنها شاهدت مئات الأجهزة المتضررة في العديد من المؤسسات في جميع أنحاء أوكرانيا حتى الآن، ولكن من المحتمل أن يكون هناك المزيد من المواقع. وقالت ESET: "من المفترض أن البيانات قد تم إتلافها، ويبدو أن البرمجيات الخبيثة فعالة للغاية".
من ناحية أخرى، قالت سيمانتيك Symantec إن البرمجيات الخبيثة malware كانت تستهدف "مؤسسات في قطاعات الخدمات المالية والدفاعية والطيران وتكنولوجيا المعلومات".
تفسد HermeticWiper سجل التمهيد الرئيسي master boot record لجهاز الكمبيوتر الذي يعمل بنظام Windows، والذي يخبر الكمبيوتر بكيفية تحميل نظام التشغيل، وفقًا لشركة أمن تكنولوجيا المعلومات SentinelOne. يقوم بذلك عن طريق الاستفادة من برامج التشغيل الشرعية من EaseUS Partition Master، وهو برنامج مجاني، لإتلاف محركات الأقراص الثابتة بجهاز الكمبيوتر. كما تم توقيع البرنامج الضار نفسه بشهادة رقمية من شركة غير معروفة في قبرص تسمى "Hermetica Digital Ltd"، والتي يشتبه SentinelOne في أنها شركة وهمية أو شركة منتهية الصلاحية.
وأضافت سيمانتيك أن "المؤشرات الأولية تشير إلى أن الهجمات ربما كانت قيد التحضير لبعض الوقت"، مستشهدة بأدلة مبكرة تظهر أن المتسلل الذي يقف وراء البرنامج الضار قد اخترق شبكات تكنولوجيا المعلومات التابعة للمنظمات الأوكرانية قبل أشهر.
في إحدى الحالات، تسلل المتسللون إلى شبكة مؤسسة أوكرانية في 23 ديسمبر من خلال استغلال Microsoft Exchange Server لسرقة بيانات اعتماد تسجيل الدخول. رصدت Symantec أيضًا المتسللين وهم ينشرون برامج الفدية ransomware في نفس الوقت مع HermeticWiper، ربما كخدعة لإلهاء المنظمات الأوكرانية عن ملاحظة هجوم محو البيانات.
بدأت شركات أمن تكنولوجيا المعلومات في ملاحظة البرامج الضارة يوم الأربعاء 23 فبراير قبل الغزو الروسي صباح الخميس. تم تصميم البرامج الضارة، التي يطلق عليها اسم HermeticWiper، لمحو أجهزة Windows وإفساد النظام، ومنع تحميل نظام التشغيل.
في رسالة بريد إلكتروني، قالت شركة الأمان ESET إنها شاهدت مئات الأجهزة المتضررة في العديد من المؤسسات في جميع أنحاء أوكرانيا حتى الآن، ولكن من المحتمل أن يكون هناك المزيد من المواقع. وقالت ESET: "من المفترض أن البيانات قد تم إتلافها، ويبدو أن البرمجيات الخبيثة فعالة للغاية".
من ناحية أخرى، قالت سيمانتيك Symantec إن البرمجيات الخبيثة malware كانت تستهدف "مؤسسات في قطاعات الخدمات المالية والدفاعية والطيران وتكنولوجيا المعلومات".
تفسد HermeticWiper سجل التمهيد الرئيسي master boot record لجهاز الكمبيوتر الذي يعمل بنظام Windows، والذي يخبر الكمبيوتر بكيفية تحميل نظام التشغيل، وفقًا لشركة أمن تكنولوجيا المعلومات SentinelOne. يقوم بذلك عن طريق الاستفادة من برامج التشغيل الشرعية من EaseUS Partition Master، وهو برنامج مجاني، لإتلاف محركات الأقراص الثابتة بجهاز الكمبيوتر. كما تم توقيع البرنامج الضار نفسه بشهادة رقمية من شركة غير معروفة في قبرص تسمى "Hermetica Digital Ltd"، والتي يشتبه SentinelOne في أنها شركة وهمية أو شركة منتهية الصلاحية.
وأضافت سيمانتيك أن "المؤشرات الأولية تشير إلى أن الهجمات ربما كانت قيد التحضير لبعض الوقت"، مستشهدة بأدلة مبكرة تظهر أن المتسلل الذي يقف وراء البرنامج الضار قد اخترق شبكات تكنولوجيا المعلومات التابعة للمنظمات الأوكرانية قبل أشهر.
في إحدى الحالات، تسلل المتسللون إلى شبكة مؤسسة أوكرانية في 23 ديسمبر من خلال استغلال Microsoft Exchange Server لسرقة بيانات اعتماد تسجيل الدخول. رصدت Symantec أيضًا المتسللين وهم ينشرون برامج الفدية ransomware في نفس الوقت مع HermeticWiper، ربما كخدعة لإلهاء المنظمات الأوكرانية عن ملاحظة هجوم محو البيانات.
