Dieser Bericht dient als vergleichender Überblick auf hoher Ebene über die neun Wiper, die von der Insikt Group im Zusammenhang mit dem anhaltenden Krieg zwischen der Ukraine und Russland analysiert wurden. Es soll Einblicke in die Ähnlichkeiten und Unterschiede zwischen den Tools und die geopolitischen Auswirkungen ihrer Entwicklung und Nutzung geben. Dieser Bericht richtet sich an Personen, die einen umfassenden technischen Überblick über die Scheibenwischer suchen. Zu den verwendeten Quellen gehören Reverse-Engineering-Tools, OSINT, die Recorded Future ® -Plattform und PolySwarm.

Executive Summary

Während es sich beim Krieg zwischen der Ukraine und Russland in erster Linie um einen kinetischen Konflikt handelt, tauchten unmittelbar vor und während der ersten zwei Monate des Krieges mehrere zerstörerische Datenlöschprogramme auf, die auf ukrainische Einrichtungen abzielten und den Konflikt in den Cyberspace trugen. Die neun von der Insikt Group analysierten Wiper verfolgten dasselbe hochrangige Zerstörungsziel, unterschieden sich jedoch in der technischen Umsetzung und den von ihnen angegriffenen Betriebssystemen. Dies legt die Vermutung nahe, dass es sich bei jedem von ihnen um ein eigenständiges Tool handelte, das möglicherweise von unterschiedlichen Autoren erstellt wurde. Mit der Zeit wurden die Wiper auch auf technischer Ebene einfacher: Die Anzahl der Schritte wurde reduziert, es wurden Verschleierungsmechanismen eingesetzt und es wurden Versuche unternommen, sich als Ransomware zu tarnen. Allerdings erreichte keiner dieser Versuche die Komplexität anderer bekannter, vom russischen Staat gesponserter Schadsoftware.

Die Wiper-Einsatzaktivitäten stehen im Einklang mit früheren vom russischen Staat geförderten Cyber-Operationen gegen die Ukraine und andere Länder. Diese Einsätze finden oft vor und während aktiver Konflikte statt und sollen wahrscheinlich als „Kraftmultiplikator“ für russische Militäroperationen wirken. Die laufenden Bemühungen, disruptive Cyberoperationen gegen ukrainische Ziele durchzuführen, zeigen, dass die russische Regierung derartige Operationen mit ziemlicher Sicherheit für sinnvoll erachtet, und legen nahe, dass diese Bemühungen wahrscheinlich fortgesetzt werden.

Wichtige Urteile

• Sechs der von der Insikt Group analysierten und mit dem Ukraine/Russland-Konflikt in Zusammenhang stehenden Wiper-Programme dienten alle dem gleichen zerstörerischen Zweck, nämlich einen Windows-Rechner funktionsunfähig zu machen; die anderen Wiper-Programme zielten auf Linux-Systeme (einschließlich Satellitenmodems) ab.
• Die Wiper weisen keine offensichtlichen Ähnlichkeiten im Code auf und es ist unwahrscheinlich, dass es sich dabei um Iterationen oder neue Versionen voneinander handelt.
• HermeticWiper war der einzige Wiper, der von einer Wurmkomponente namens HermeticWizard verbreitet wurde. HermeticWizard beschränkte seine Verbreitung auf lokale IP-Adressen innerhalb des Netzwerks des Opfers und verhinderte so die externe Verbreitung, die bei anderen Wurmvorfällen wie NotPetya zu beobachten war.
• Keiner der Wiper selbst verfügte über eine Netzwerkkonnektivitätsfunktion, die es ihnen ermöglicht hätte, die Daten der Opfer weiter zu exfiltrieren. Dies legt die Vermutung nahe, dass ihr Zweck die gezielte Zerstörung bestimmter Entitäten war.

Hintergrund

Es gibt ein beobachtbares, historisches Muster von Unternehmen, die sehr wahrscheinlich im Dienste der russischen Regierungsinteressen handeln und sich vor und gleichzeitig mit russischen Militäroperationen an Cyberoperationen beteiligen. Solche Operationen gehen mindestens auf den August 2008 zurück, als Berichte von pro-russischen Hacktivisten beschreiben, die sich an einer Reihe von anhaltenden Distributed-Denial-of-Service-Angriffen (DDoS) und Website-Verunstaltungen gegen eine Reihe von georgischen Regierungs-, Banken-, Medien-, Kommunikations- und Transportressourcen beteiligten, etwa zur gleichen Zeit, als das russische Militär eine Offensive in Südossetien startete und eine Bombenkampagne in ganz Georgien durchführte. Seit 2014 haben staatlich geförderte russische APT-Gruppen (Advanced Persistent Threat), die mit dem russischen Hauptnachrichtendienst (GRU) verbunden sind, wie z. B. Sandworm, kontinuierlich Cyberoperationen gegen wichtige inländische Sektoren in der Ukraine durchgeführt, wie z. B. das Stromnetz in den Jahren 2015 und 2016 (1, 2) sowie "Versorgungsunternehmen, Banken, Flughäfen und Regierungsbehörden" im Jahr 2017. Nach dem Beginn der groß angelegten russischen Invasion und dem anschließenden Krieg in der Ukraine haben Sandworm und andere wahrscheinlich mit der GRU verbundene Bedrohungsgruppen erneut versucht, Cyberangriffe in Verbindung mit militärischen Operationen gegen ukrainische Einrichtungen durchzuführen, zuletzt durch den Einsatz einer Reihe erfolgloser Angriffe zum Löschen von Daten. In diesem Bericht werden die Malware, ihr Timing und die Taktiken, Techniken und Verfahren (TTPs) untersucht, die mit diesen Wiper-Angriffen verbunden sind, und was dies für den gesamten Konflikt bedeutet.