Изследователи от Cisco Talos алармират за нов зловреден софтуер с разрушителен характер – PathWiper, използван в атаки срещу критичната инфраструктура на Украйна, с цел пълно нарушаване на операциите в засегнатите системи. Малуерът е част от продължаващата вълна кибератаки, свързани с войната в страната, и се приписва с висока степен на сигурност на Русия.

PathWiper – еволюция на HermeticWiper?

Според анализаторите, PathWiper споделя много прилики с HermeticWiper, използван в началото на конфликта в Украйна от известната група Sandworm. Има основание да се смята, че PathWiper представлява развитие на HermeticWiper, използвано от същия или сходен клъстър от заплахи.

Малуерът не търси финансова изгода – няма изискване за откуп или изнудване. Целта е единствено унищожаване на данни и прекъсване на дейността на критични системи.

Техническа реализация и разрушителна логика

PathWiper се изпълнява чрез Windows batch файл, който стартира злонамерен VBScript (uacinstall.vbs). Скриптът от своя страна зарежда и изпълнява основния payload – файл с име sha256sum.exe, който имитира легитимен административен инструмент, за да избегне откриване.

След това PathWiper:

• Идентифицира всички свързани устройства – локални, мрежови и демонтирани.

• Използва Windows API, за да демонтира томовете, подготвяйки ги за повреда.

• Създава нишки за всеки обем, за да презапише критични NTFS структури с произволни байтове, включително:

  • MBR (Master Boot Record) – стартиращият сектор и таблицата с дялове.

  • $MFT (Master File Table) – файловата таблица на NTFS, съдържаща всички метаданни.

  • $LogFile – NTFS журнал за транзакции и възстановяване.

  • $Boot – информация за структурата на файловата система и зареждането.

Освен тях, PathWiper таргетира и още поне пет критични NTFS файла, които правят възстановяването почти невъзможно. Резултатът е напълно неизползваема система, изискваща пълно преинсталиране или физическа подмяна на устройства.

Потвърден достъп и злоупотреба с администраторски права

PathWiper е разпространен чрез легитимен инструмент за управление на крайни точки, което показва, че нападателите вече са имали административен достъп до компрометираните системи. Това навежда на мисълта, че злонамерените действия са част от по-широка кампания, включваща предварително проникване и достъп с високо ниво на привилегии.

Член на разрушителна фамилия

PathWiper е последното допълнение към дълъг списък от разрушителни зловредни програми, използвани в Украйна от началото на войната, включително:

• HermeticWiper

• CaddyWiper

• DoubleZero

• IsaacWiper

• WhisperKill

• WhisperGate

• AcidRain

Всички те имат за цел нарушаване на оперативната способност на критични звена, като болници, енергийни доставчици, държавни институции и телекомуникации.

Как да се реагира?

Cisco Talos публикува хешове на файлове и Snort правила, с чиято помощ организации могат да засекат PathWiper преди да нанесе щети. Необходимо е:

• Редовен мониторинг за подозрителни изпълними файлове и скриптове.

• Ограничаване на администраторските привилегии.

• Блокиране на използвани инструменти за разпространение.

• Редовно бекъпване и офлайн съхранение на критични данни.

Заключение

PathWiper е ясно доказателство за това как кибервойната се води не само с цел шпионаж, но и за директно и непоправимо разрушение на IT инфраструктура. В условията на военен конфликт, подобни инструменти се превръщат в оръжие със същия разрушителен потенциал като физическите атаки.

Организациите в застрашени региони трябва да третират киберзаплахите не само като ИТ проблем, а като част от по-широка стратегия за национална сигурност.