俄羅斯昨日採取軍事行動入侵烏克蘭,而據斯洛伐克的網絡安全公司 ESET Research 報告指出,烏克蘭多間機構在香港時間 2 月 23 日晚都遭受 Wiper 攻擊,電腦資料被完全刪除,令系統癱瘓。報告更指俄國很可能是去年底就部署今次行動。
Wiper 攻擊是一種毀滅性的攻擊手法,目的不只是盜取資料和靭索,更會刪除受害者電腦裡的資料,令受害者不能動彈。而在俄羅斯發動攻擊之前,烏克蘭的銀行和政府機構均遭受 DDoS 攻擊導致網站無法登入。
ESET 在報告中指他們在香港時間 2 月 23 日晚上 10 時 52 分檢測到一種名為「 HermeticWiper 」的數據清除型( Data-Wiper )惡意軟件,ESET 指這軟件的編譯時間郵戳為 2021 年 12 月 28 日,所以這次攻擊很可能是去年底策劃的。
報告指 HermeticWiper 利用了中國數據復修和磁碟管理服務供應商 EaseUS 易我科技出品的免費磁碟管理工具 EaseUS Partition Master 的合法驅動程式來摧毀資料,並利用了原本簽發給一間塞普路斯公司 Hermetica Digital 的真正代碼簽章證書。
HermeticWiper 不單會刪除磁碟上的數據,還會破壞主開機紀錄( MBR )磁區,令到電腦無法重新啟動,即使有備份也如同廢物。
另一間網絡安全公司 Symantec 就將這個惡意軟件命名為 Trojan.Killdisk ,指早在去年 11 月就發現相關的活動,並指去年 12 月 23 日透過針對 Microsoft Exchange Server 的惡意 SMB 活動,取得了烏克蘭一間機構的系統存取權限,並在 1 月 16 日安裝 Web Shell ,在 2 月 23 日發動 Wiper 攻擊。 Symantec 同時又指當日立陶宛的金融、國防和 IT 機構亦同樣受到 Wiper 攻擊。