Ukrayna’yı hedef alan kötü amaçlı veri imha yazılımı kullanılarak gerçekleştirilen siber saldırıların Kasım ayında planlandığı açığa çıktı.

Siber güvenlik firmaları ESET ve Broadcom’s Symantec’ten araştırmacılar, Ukrayna’da yüzlerce cihazı hedef alan son saldırı dalgasında kullanılan yeni bir tür olan ‘kötü amaçlı veri imha yazılımı’ buldu.

ESET’in attığı bir tweet, şirketin telemetresinin ülkedeki yüzlerce cihazda ‘HermeticWiper’ adlı yazılımın varlığını tespit ettiğini ortaya koymuştu. Güvenlik firmasına göre, cihazlara virüs bulaşması Dışişleri Bakanlığı, Bakanlar Kurulu da dahil olmak üzere birçok Ukraynalı web sitesine yönelik DDoS saldırılarının ardından gerçekleşmişti. Yazılımın ilk örneği ESET tarafından geçtiğimiz perşembe gözlemlenmişti, fakat daha ilginç olanı, örneklerden birinin 28.12.2021 tarihli zaman damgasına sahip olması dikkat çekti. Zira bu durum siber saldırının neredeyse iki aydır hazırlık aşamasında olabileceğini düşündürüyor.

Kötü amaçlı yazılım, Hermetica Digital Ltd’ye verilen bir kod imzalama sertifikası kullanılarak oluşturuldu. Symantec’in veri imha saldırıları hakkında paylaştığı yeni bilgiler, bazı durumlarda tehdit aktörlerinin GoLang tabanlı bir fidye yazılımı kullandığını ortaya koydu.

Symantec tarafından yayınlanan raporda şu ifadeler yer aldı: “Fidye yazılımının bir yem ya da dikkati veri imha saldırılarından başka bir yere çekme noktasında kullanılmış olması muhtemel görünüyor. Bu, imha yazılımının fidye yazılımı olarak gizlendiği Ukrayna’ya yönelik daha önceki WhisperGate saldırılarıyla bazı benzerliklere sahip.”

ESET tarafından HermeticWiper kötü amaçlı yazılımına dair yapılan analiz, saldırıların en az iki ay önce planlandığını ortaya koyuyor. Symantec’ten araştırmacılar, bu tehdit aktörlerinin Litvanya’daki bir kuruluşa en az bir ay önce, Kasım 2021’de, bir PowerShell komutunu yürütmek için bir Tomcat zaafiyetinden yararlanarak eriştiklerini ve bunun veri imha yazılımının konuşlandırılmasına yol açtığını keşfetti.