斯洛伐克安全研究公司ESET Research发现,于2023年1月25日在乌克兰发起的一次网络攻击,利用了一种新型擦除(wiper)恶意软件。据信俄罗斯是这次攻击和该恶意软件背后的幕后黑手,ESET将其命名为“SwiftSlicer”。
恶意软件
首先,了解什么是擦除(wiper)恶意软件十分重要。擦除恶意软件是一类旨在完全抹去(擦除)计算机硬盘中数据的恶意软件。与其他常见的旨在获得金钱的网络攻击(如勒索软件)不同,擦除恶意软件只是想毁掉目标系统,纯粹为了破坏而破坏。由于擦除恶意软件对乌克兰关键基础设施和机构的攻击数量急剧增加,FortiGuard Labs将2022年称为擦除恶意软件之年。许多人认为这种增加不是巧合,而是一种网络战争手段。
SwiftSlicer利用Active Directory Group Policy进行攻击。在一系列推文中,ESET写道,当SwiftSlicer被执行时,“会删除影像副本,递归地重写位于%CSIDL_SYSTEM%\drivers、%CSIDL_SYSTEM_DRIVE%\Windows\NTDS和其他非系统驱动器中的文件,然后重新启动计算机。”随后,它使用随机生成的字节序列来填充4,096字节长的块以实现重写。
ESET将这次攻击归因于一个名为Sandworm的网络间谍组织。
行为轨迹
Sandworm又称为Unit 74455,是俄罗斯军事情报机构GRU负责的网络军事单位。该组织活跃自2005年左右,曾经以Telebots、Voodoo Bear和Iron Viking的代号进行攻击。多年来,该组织已经在全球各地的计算机网络中造成了伤害和破坏。一些例子包括制作NotPetya勒索软件,瞄准乌克兰的电力网络、财政部和国家财政部服务,并对2018年平昌冬季奥林匹克运动会发起定向网络钓鱼攻击。
SwiftSlicer只是近20年来网络破坏行为的最新案例,而且它甚至不是该组织在乌克兰入侵期间所推出的第一个恶意软件。据The Hacker News报道,该组织释放的其他恶意软件包括WhisperGate、HermeticWiper和IsaacWiper等。
防范擦除(wiper)恶意软件
全面和定期备份重要数据不可低估。虽然这显然不能防止攻击,但如果公司成为受害者,这项工作将非常重要。那么预防呢?
CPO Magazine表示,擦除恶意软件的最大问题之一是往往难以检测和遏制。IT专业人员很难对此类攻击做出响应,因为一旦攻击完成,擦除恶意软件通常会删除其存在的所有痕迹。因此,多层保护是防止擦除恶意软件造成大规模破坏的关键。
其中一个选择是采用3-2-1-1数据保护策略,包括保持三个数据副本以及实施不可变对象存储。备份数据的两个副本应存储在两种不同的介质上,而第三个副本应存储在离线位置。如果擦除软件破坏了一个备份,这将为您提供多种备份选项。
