このレポートは、進行中のウクライナ/ロシア戦争に関連してInsikt Groupが分析した9つのワイパーのハイレベルな比較概要として機能します。 これは、ツール間の類似点と相違点、およびそれらの開発と使用の地政学的な影響についての洞察を提供することを目的としています。 このレポートの対象読者は、ワイパーの高レベルの技術概要を探している人々です。 使用されるソースには、リバース・エンジニアリング・ツール、OSINT、Recorded Future® Platform、PolySwarm などがあります。

Executive Summary

ウクライナとロシアの戦争は主に動的な紛争ですが、戦争の直後と最初の2か月以上の間に、ウクライナのエンティティを標的としたいくつかの破壊的なデータワイパーが出現し、紛争をサイバースペースにもたらしました。 Insikt Groupが分析した9つのワイパーは、同じ高レベルの破壊的な目標を持っていましたが、技術的な実装と対象とするオペレーティングシステムが異なり、それぞれが異なるツールであり、おそらく異なる作成者によって作成されたことを示唆しています。 時間が経つにつれて、ワイパーは、ステージ数の削減、難読化の存在、ランサムウェアになりすまそうとする試みなど、技術的なレベルでもより単純化されましたが、他の既知のロシアの国家支援マルウェアほどの高度なものはありませんでした。

ワイパー配備活動は、ウクライナや他の国々に対するロシア国家主導のサイバー作戦と過去に実施されたものと一致しています。これらの取り組みは、紛争前や紛争中に行われることが多く、ロシアの軍事作戦の「戦力増強剤」として機能することを意図している可能性が高い。 ウクライナの標的に対して破壊的なサイバー作戦を展開する継続的な取り組みは、ロシア政府がそのような作戦をほぼ確実に価値あるものと考えていることを示しており、これらの取り組みが継続する可能性が高いことを示唆しています。

主な判断

• Insikt Groupが分析したウクライナ/ロシアの紛争に関連するワイパーのうち6つは、すべてWindowsマシンを動作不能にするという同じ高レベルの破壊的な目的を果たしています。他のワイパーはLinuxシステム(衛星モデムを含む)を対象としていました。
• ワイパーは、ワイパー間で明らかなコードの類似性を共有しておらず、互いのイテレーションや新しいバージョンである可能性は低いです。
• HermeticWiperは、HermeticWizardとして知られるワームコンポーネントによって配布されていることが判明した唯一のワイパーでした。 HermeticWizardは、その拡散を被害者のネットワーク内のローカルIPアドレスに制限し、NotPetyaのような他のワームインシデントで見られる外部への配布を防止しました。
• ワイパー自体には、被害者のデータをさらに盗み出すためのネットワーク接続機能は含まれておらず、その目的が特定のエンティティの破壊を目的としていたことが示唆されています。

背景

観察可能な歴史的パターンがあります エンティティ、ロシア政府の利益を支援するために行動し、ロシアの軍事作戦の前および並行してサイバー作戦に従事している可能性が非常に高いです。 このような作戦は少なくとも2008年8月にまでさかのぼり、ロシア軍が南オセチアで攻撃を開始し、グルジア全土で爆撃キャンペーンを行っていたのとほぼ同時期に、親ロシア派のハクティビストがグルジア政府、銀行、メディア、通信、交通機関の多くのリソースに対して一連の持続的な 分散型サービス拒否(DDoS) 攻撃と ウェブサイトの改ざん に従事 していたと報告 されています。2014年以来、サン ドワーム など、ロシア情報 総局(GRU) に所属するロシア国家支援の持続的脅威(APT)グループは、2015年と2016年の両方で電力網( 1 、 2)、 2017 年には「公益事業会社、銀行、空港、政府機関」など、ウクライナの重要な国内部門に対するサイバー作戦を一貫して行ってきた。ロシアの全面侵攻とその後のウクライナ戦争の開始後、Sandworm やその他の GRU 関連の脅威活動グループは、ウクライナに対する軍事作戦と協調してサイバー攻撃を展開しようとする試みに再び従事しました エンティティ 最近では、一連の失敗したデータ消去攻撃の展開を通じて。 本レポートでは、マルウェアとそのタイミング、これらのワイパー攻撃に関係する手口、戦術、技術、手順(TTP(戦術・技術・手順))と、これが紛争全体にどのような影響を与えるかを探ります。