بدافزار جدیدی به نام PathWiper در حملات هدفمند علیه زیرساخت‌های حیاتی اوکراین برای ایجاد اختلال در عملیات این کشور استفاده می‌شود. محققان Cisco Talos که این حمله را کشف کردند، با اطمینان بالا آن را به گروه‌های تهدید پیشرفته مداوم (APT) مرتبط با روسیه نسبت می‌دهند.

این بدافزار از طریق یک ابزار مدیریت نقطه پایانی مشروع در سیستم‌های هدف مستقر شده که نشان می‌دهد مهاجمان قبلاً دسترسی مدیریتی به سیستم را به دست آورده‌اند. PathWiper شباهت‌های زیادی به HermeticWiper دارد که قبلاً توسط گروه تهدید Sandworm در اوکراین استفاده شده بود. این موضوع نشان می‌دهد که PathWiper احتمالاً نسخه تکامل‌یافته HermeticWiper است.

نحوه عملکرد مخرب PathWiper

PathWiper از طریق یک فایل دسته‌ای ویندوز اجرا می‌شود که یک VBScript مخرب را راه‌اندازی می‌کند. این اسکریپت سپس بار اصلی بدافزار را رها کرده و اجرا می‌کند. برای فریب سیستم‌های امنیتی، این بدافزار رفتار و نام‌های مشابه با ابزارهای مدیریتی مشروع را تقلید می‌کند.

برخلاف HermeticWiper که فقط درایوهای فیزیکی را شناسایی می‌کرد، PathWiper به صورت برنامه‌ریزی شده تمام درایوهای متصل شامل محلی، شبکه و جدا شده را در سیستم شناسایی می‌کند. سپس با سوءاستفاده از رابط‌های برنامه‌نویسی ویندوز، حجم‌ها را برای آماده‌سازی فساد داده‌ها جدا می‌کند.

فایل‌های سیستمی هدف در دایرکتوری ریشه NTFS شامل موارد زیر هستند:

MBR (رکورد بوت اصلی): اولین بخش دیسک فیزیکی که بارگذار بوت و جدول پارتیشن را نگه می‌دارد

MFT$ (جدول فایل اصلی): فایل سیستمی اصلی NTFS که تمام فایل‌ها و دایرکتوری‌ها را کاتالوگ می‌کند

LogFile$: ژورنال برای ثبت تراکنش‌های NTFS و ردیابی تغییرات فایل

Boot$: فایل حاوی اطلاعات بخش بوت و طرح‌بندی سیستم فایل

PathWiper این فایل‌ها و پنج فایل حیاتی دیگر NTFS را با بایت‌های تصادفی بازنویسی می‌کند که سیستم‌های آسیب‌دیده را کاملاً غیرقابل استفاده می‌سازد. حملات مشاهده شده شامل هیچ‌گونه اخاذی یا درخواست مالی نیستند، بنابراین هدف اصلی آنها صرفاً تخریب و ایجاد اختلال عملیاتی است.

Cisco Talos هش‌های فایل و قوانین Snort را برای کمک به شناسایی این تهدید منتشر کرده است تا قبل از فاسد شدن درایوها متوقف شود.

بدافزارهای پاک‌کننده داده از زمان شروع جنگ به ابزار قدرتمندی در حملات علیه اوکراین تبدیل شده‌اند. بازیگران تهدید روسی معمولاً از آنها برای ایجاد اختلال در عملیات حیاتی این کشور استفاده می‌کنند. این بدافزارها شامل DoubleZero، CaddyWiper، HermeticWiper، IsaacWiper، WhisperKill، WhisperGate و AcidRain هستند.