بينما تواصل روسيا غزوها على الأرض لأوكرانيا ، تم الإبلاغ أيضًا عن هجمات إلكترونية ضد أوكرانيا. بعد هجوم HermeticWiper ، رصدت شركة الأمن السيبراني ESET هجوم مسح ثاني يسمى IsaacWiper ، والذي بدأ في 24 فبراير. كشفت الشركة عن تفاصيل الثانية في مدونة جديدة بتاريخ 1 مارس. وأضافت أنه بناءً على الملاحظات يبدو أنها تم التخطيط للهجمات منذ شهور ، على الرغم من أنها لم تصل إلى حد إلقاء اللوم على أي جهة بعينها.
“فيما يتعلق بـ IsaacWiper ، نقوم حاليًا بتقييم روابطه ، إن وجدت ، مع HermeticWiper. من المهم أن نلاحظ أنه شوهد في منظمة حكومية أوكرانية لم تتأثر بـ HermeticWiper ، “قال جان إيان بوتين ، رئيس ESET لأبحاث التهديد. في منشور مدونة جديد ، صرحت الشركة أن هجوم Isaacwiper على الأرجح “بدأ بعد وقت قصير من الغزو العسكري الروسي وضرب شبكة حكومية أوكرانية.”
وضعت ESET أيضًا جدولًا زمنيًا لجميع الهجمات الإلكترونية التي لاحظتها ضد أوكرانيا حتى الآن.
23 فبراير: HermeticWiper and co
بينما استهدفت Hermeticwiper جنبًا إلى جنب مع HermeticWizard و HermeticRansom العديد من المنظمات الأوكرانية في 23 فبراير ، كان هذا قبل بداية الغزو الروسي لأوكرانيا ببضع ساعات.
HermeticWiper كما يوحي اسمه هو برنامج ضار يمسح جميع البيانات من القرص المصاب بجهاز مصاب. كما أنه “يمسح نفسه من القرص عن طريق الكتابة فوق ملفه ببايت عشوائي.” وفقًا لـ ESET ، “من المحتمل أن يهدف الإجراء إلى منع تحليل الماسحة في تحليل ما بعد الحادث.” تنتشر البرامج الضارة داخل الشبكات المحلية المخترقة بواسطة دودة مخصصة أطلقوا عليها اسم HermeticWizard.
لاحظت ESET أيضًا أن HermeticRansom ، والذي يقولون إنه يعمل كـ “برنامج فدية شرك” لجذب الانتباه بعيدًا عن البرامج الضارة التي تعمل على مسح القرص.
مصطلح “Hermetic” مشتق من Hermetica Digital Ltd. وهي شركة مقرها قبرص تم إصدار شهادة توقيع الرمز لها ، على الرغم من أن التقارير تشير إلى أن المهاجمين من المحتمل أن ينتحلوا صفة الشركة للحصول على الشهادة. طلبت ESET Research من الشركة المصدرة DigiCert إلغاء الشهادة على الفور.
24 فبراير: تم نشر Isaacwiper
في 24 فبراير ، بدأ هجوم مسح ثان يسمى IsaacWiper ، وفقًا لـ ESET. ثم في 25 فبراير ، تقول ESET “أسقط المهاجمون إصدارًا جديدًا من IsaacWiper بسجلات تصحيح الأخطاء ، مما قد يشير إلى أنهم غير قادرين على مسح بعض الأجهزة المستهدفة.”
الهجمات المخطط لها منذ شهور
وفقًا لـ ESET ، تم اختراق المنظمات المتضررة قبل وقت طويل من نشر الماسحة. قال بوتين إنه تمت مراعاة الطوابع الزمنية التي تعود إلى 28 ديسمبر 2021 جنبًا إلى جنب مع “تاريخ إصدار شهادة توقيع الرمز في 13 أبريل 2021”.
قال بوتين: “نشر HermeticWiper من خلال سياسة المجال الافتراضية في حالة واحدة على الأقل ، مما يشير إلى أن المهاجمين لديهم وصول مسبق إلى أحد خوادم Active Directory الخاصة بالضحية”. بالنسبة إلى IsaacWiper ، كان أقدم طابع زمني تم العثور عليه في 19 أكتوبر 2021.
