ウクライナで2月23日にHermeticWiperと名付けられたワイパー型マルウェアの新種が発見された。ウクライナでは今年1月中旬以降、ロシアによるとみられるサイバー攻撃が継続して発生し、2月24日にはロシア軍がウクライナに軍事進攻した。
DDoS攻撃の後に…
ウクライナに対するサイバー攻撃は、2月15日には住民の多くが金融機関のATMで障害が発生したとの偽の情報をSMSで受信、その後、DDoS攻撃が断続的に発生し国防省や外務省、ウクライナ軍、公営放送や金融機関等が影響を受けた。サイバー脅威の分析チームUnit42はウクライナを攻撃したDDoS攻撃について「MiraiおよびMerisボットネットが利用された可能性が高い」としている。また、アメリカとイギリスはウクライナへのDDoS攻撃についてロシア連邦軍参謀本部情報総局(GRU)よるものと断定している。
サイバーセキュリティのESETによると、HermeticWiper という新たなワイパーマルウェアがウクライナ現地時間の2月23日水曜日午後5時前にESETのセキュリティ製品より検出された。これはデータを消去するマルウェアで、ESETによると、DDoS攻撃によってウクライナの政府系ウェブサイトがオフラインになった数時間後にHermeticWiperによるワイパー攻撃が行われたようだという。
HermeticWiperのファイルにはHermetica Digital Ltd.という会社が発行した有効な署名があり、この会社はキプロスに本拠を置いているという。Unit42によると、このファイルを実行すると、ハードディスク上のすべてのファイルが列挙され、パーティション情報が消去された後、システムが強制的に再起動され、Missing operating system_とだけ記された画面が表示される。ESETによるとこのファイルのタイムスタンプは2021年12月28日にコンパイルされたことを示している。Unit42は、攻撃者はこのマルウェアに対して一定期間のスリープやシステムシャットダウンの命令を出すことができるとしている。
数百台のマシンにインストール?
ESETはHermeticWiperがウクライナの数百台のマシンにインストールされている可能性を示唆、また、サイバーセキュリティのシマンテックは、HermeticWiperをウクライナの銀行に属する約50のシステムと、ウクライナ政府の2つの異なる請負業者に属するシステムで発見したと報告しているとのレポートもある。サイバーセキュリティのセンチネルワンは「Lazarus GroupのDestoverとAPT33のShamoonはどちらも、Windows APIを呼び出さずにファイルシステムに直接アクセスするためにEldoS Rawdiskを利用している。
HermeticWiperも同様の手法を使っているが、(EldoS Rawdiskではなく)別のドライバーempntdrv.sysを悪用している」と分析している。ちなみにDestoverは2014年にソニーピクチャーを攻撃したワイパーマルウェアで、Shamoonは2012年にサウジアラムコを攻撃したワイパーマルウェアだ。
Unit42によるとウクライナへのサイバー攻撃ではウェブの改ざんも多く行われており、改ざんされたサイトにはメッセージが記され、メッセージにはられたリンク先はウクライナ市民の個人データを含むデータベースのアンダーグラウンドの販売先だという。ウクライナでは今年1月中旬にはWhisperGateというランサムウェアになりすましたワイパーマルウェアによる攻撃が行われており、また、2017年6月にはNotPetyaによる攻撃を受けている。NotPetyaは当初、ランサムウェアだと見られていたが、後にワイパーマルウェアだと判明した。
※写真はHermeticWiperによってデータが消去された画面= https://unit42.paloaltonetworks.com/preparing-for-cyber-impact-russia-ukraine-crisis/より
