截至2023年1月27日,乌克兰计算机应急响应小组(CERT-UA)在该国国家新闻机构(Ukrinform)的网络上发现了五次不同的数据擦除。除了其功能旨在损害信息的完整性和可用性的恶意软件组合(写入零字节的文件/磁盘/任意数据及其随后的删除)。在针对Ukrinform的攻击中部署的破坏性恶意软件列表包括CaddyWiper(Windows)、ZeroWipe(Windows)、SDelete(Windows)、AwfulShred(Linux)和BidSwipe(FreeBSD)。攻击者使用Windows组策略(GPO)启动CaddyWiper恶意软件,表明他们事先已经破坏了目标的网络。正如CERT-UA在调查期间发现的那样,攻击者在12月7日左右获得了对Ukrinform网络的远程访问权限,并等待了一个多月才发布恶意软件。然而,他们试图从新闻机构的系统中清除所有数据的尝试失败了。擦除器仅成功销毁了“几个数据存储系统”上的文件,这并未影响Ukrinform的运营。CERT-UA强调网络攻击只取得了部分成功,尤其是在数量有限的数据存储系统方面。与俄罗斯Sandworm军事黑客攻击有关的网络攻击CERT-UA上周将该攻击与Sandworm威胁组织联系起来,该组织是俄罗斯主要情报局(GRU)军事单位74455的黑客组织,该组织在4月份针对一家公司CaddyWiper数据擦除器用于对乌克兰一家大型能源供应商的另一次失败攻击。在那次攻击中,俄罗斯黑客使用了类似的策略,部署了CaddyWiper来删除IndustroyerICS恶意软件留下的痕迹,以及其他三个为Linux和Solaris系统设计的擦除器,被追踪为Orcshred、Soloshred和Awfulshred。自2022年2月俄乌战争以来,除了CaddyWiper之外,乌克兰目标网络上还部署了多种数据擦除恶意软件,包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate和AcidRain等。此外,微软和斯洛伐克软件公司ESET还将最近针对乌克兰的勒索软件攻击与Sandworm黑客组织联系起来。参考链接:https://www.bleepingcomputer.com/news/security/ukraine-sandworm-hackers-hit-news-agency-with-5-data-wipers/
