Spravodajský portál Tlačovej agentúry Slovenskej republiky
Streda 25. december 2024
< sekcia Ekonomika

Experti analyzovali kyberútoky na Ukrajinu, prvý prišiel pred inváziou

Ilustračné foto. Foto: TASR/AP

Experti upozornili na jednu zvláštnosť v spojitosti s malvérom IsaacWiper. Len deň po jeho nasadení použili útočníci jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení.

Bratislava 1. marca (TASR) - Experti spoločnosti Eset analyzovali kybernetické útoky na ukrajinské organizácie. Prvý útok zasiahol niekoľko organizácií na Ukrajine pár hodín pred ruskou inváziou, pričom útočníci použili malvér HermeticWiper. K vinníkovi sa výskumníci zatiaľ nedopátrali.

Spomínaný malvér sa sám vymaže z disku prepísaním vlastného súboru náhodnými dátami. V skompromitovaných sieťach sa množí prostredníctvom vlastného červa - HermeticWizard. Cieľom útoku je zmazanie užívateľských dát. Tomuto kyberútoku podľa odborníkov predchádzali DDoS útoky na veľké ukrajinské webové stránky. "Vzorky malvéru naznačujú, že útoky boli plánované niekoľko mesiacov," skonštatovali experti spoločnosti. DDoS útoky sa vyznačujú tým, že spôsobujú čiastočné i úplné znefunkčnenie sieťovej či IT služby.

Počas štvrtka 24. februára došlo k druhému útoku na ukrajinskú vládnu sieť cez malvér, ktorému experti vymysleli názov IsaacWiper. Existenciu prepojenia medzi týmito dvoma malvérmi odborníci preverujú.

Výskumníci spoločnosti však s vysokou pravdepodobnosťou odhadujú, že zasiahnuté organizácie boli skompromitované už dlhšie pred zavedením "wipera". Usudzujú to na základe najstaršieho časového odtlačku HermeticWiper, ktorý pochádza ešte z konca minulého roka, pričom k vydaniu digitálneho certifikátu došlo už vlani v apríli. Pri malvéri IsaasWiper zase najstarší odtlačok pochádza z 19. októbra minulého roka.

Experti upozornili na jednu zvláštnosť v postupe kyberútočníkov v spojitosti s malvérom IsaacWiper. Len deň po jeho nasadení použili útočníci jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení. "To môže naznačovať, že sa útočníkom nepodarilo vymazať obsah z niektorých zasiahnutých zariadení a chceli zistiť, prečo neboli úspešní," predpokladajú odborníci.

Výskumníci sa domnievajú, že útočníkom sa podarilo dostať digitálny certifikát od spoločnosti DigiCert tak, že sa vydávali za firmu. Experti už požiadali DigiCert, aby tento certifikát okamžite zrušil.