ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見

セキュリティソフトの開発・販売を行うESETの研究部門であるESET Research Labsが、ロシア軍の侵攻を受けるウクライナの政府サイトがマルウェアによる攻撃を受けていることを明かしました。

HermeticWiper: New data‑wiping malware hits Ukraine | WeLiveSecurity
https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/

Ukraine: Disk-wiping Attacks Precede Russian Invasion
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia

Ukrainian gov't sites disrupted by DDoS, wiper malware discovered | ZDNet
https://www.zdnet.com/article/ukrainian-govt-sites-banks-disrupted-by-ddos-amid-invasion-fears/

HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine - SentinelOne
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/

New data-wiping malware used in destructive attacks on Ukraine
https://www.bleepingcomputer.com/news/security/new-data-wiping-malware-used-in-destructive-attacks-on-ukraine/

現地時間の2022年2月24日、ウクライナの特別通信情報保護局が、同国の政府関連ウェブサイトや銀行が大規模なDDoS攻撃を受けていると発表しました。

サイバーセキュリティおよびインターネットのガバナンスを監視するNetBlocksは、「ウクライナの外務省、国防省、内務省、保安局、閣僚会議にかかわるウェブサイトが、ネットワーク中断の影響を受けたばかりです。この出来事はウクライナ政府サイトへのDDoS攻撃と一致しているようです」と報告しており、DDoS攻撃により多くのウェブサイトが停止していることが確認されています。

インターネットセキュリティサービスも展開するCloudflareは、ウクライナで検出されたDDoS攻撃について「今週は先週よりも多くのDDoS攻撃を検出していますが、その活動期間は1カ月にも満たないものです。それでもウクライナの個々のウェブサイトへの攻撃は壊滅的なものとなっています」「これまでのところ過去に処理した大規模なDDoS攻撃と比較すると控えめな攻撃ではあります」と述べています。

なお、今回のDDoS攻撃が検出される1週間前にもウクライナのウェブサイトを対象としたDDoS攻撃が検出されています。この攻撃について、イギリスの外務・英連邦・開発省は、「ロシア政府の情報機関であるGRUが攻撃に関与している」と指摘していました。

特別通信情報保護局が新しいDDoS攻撃について報告したのち、ESET Research Labsはウクライナで使用されている新しいデータワイパー型マルウェアの「Hermetic Wiper」を検出したと報告しました。ESET Research Labsの調査によると、Hermetic Wiperはウクライナ国内に配備された数百台のマシンにすでに感染しており、「ウクライナ政府関連のウェブサイトで検出されたDDoS攻撃に続くサイバー攻撃です」と述べています。

最初の攻撃は現地時間の16時52分に観測されました。サンプルのひとつのコンパイル時のタイムスタンプは『2021年12月28日』となっており、Hermetic Wiperを用いた攻撃が約2カ月にわたって準備されたものである可能性を示しています。

Hermetic WiperにはHermetica Digitalという企業によって発行されたコード署名証明書が使用されている模様。

Hermetic Wiperは感染した端末のデータを破壊するためにEaseUS Partition Masterのソフトウェアで使用される正規ドライバーを悪用しており、最終ステップとしてマルウェアは感染端末を再起動します。

対象となる組織のひとつでは、Hermetic WiperがデフォルトのGPOを介してドロップされたことが明らかになっています。「これはつまり、攻撃者がActive Directoryを制御した可能性が高いということを意味します」とESET Research Labsは説明しています。

Hermetic Wiperによる攻撃は、ウクライナ議会が非常事態宣言について話し合い始めた現地時間の16時頃に始まっています。

この他、ウクライナのジャーナリストによると、同国の議会議長であるRuslan Stefanchuk氏とその家族が繰り返しサイバー攻撃の標的にされたことが検出されています。また、別の記者によると、ウクライナへのサイバー攻撃は、標的のメールアカウントに侵入したり銀行口座へのアクセスをブロックしたりしようとしているそうです。

さらに、別のサイバーセキュリティ企業であるAvastの研究部門であるAvast Threat Labsは、ESETが検出したHermetic Wiper以外にも、ウクライナで暗躍するGo言語ベースの新しいランサムウェアの存在を指摘しています。