昨日，歐洲中部的安全廠商ESET發(fā)布報告，披露了一款針對烏克蘭組織進行數(shù)據(jù)擦除“破壞式”攻擊的惡意軟件樣本CaddyWiper，已經(jīng)影響了少量組織；

　　這是今年以來公開披露的第四款針對烏克蘭的數(shù)據(jù)擦除惡意軟件，前三款分別是WhisperGate（1月中旬）、HermeticWiper（2月23日）、IssacWiper（2月24日），每次數(shù)據(jù)擦除攻擊都伴隨著大規(guī)模網(wǎng)絡(luò)攻擊或軍事行動。

　　前情回顧

　　地緣政治引爆網(wǎng)絡(luò)戰(zhàn)！烏克蘭多個政府系統(tǒng)又遭數(shù)據(jù)擦除“恐怖”襲擊

　　俄烏沖突網(wǎng)空態(tài)勢研判：關(guān)基成網(wǎng)攻重點 俄方克制使用高級能力

　　3月14日，研究人員再次發(fā)現(xiàn)針對烏克蘭組織目標的數(shù)據(jù)破壞惡意軟件CaddyWiper，能在受感染網(wǎng)絡(luò)中跨系統(tǒng)執(zhí)行數(shù)據(jù)刪除。

　　ESET研究實驗室解釋稱，“這種新型惡意軟件會刪除所連接驅(qū)動器內(nèi)的用戶數(shù)據(jù)與分區(qū)信息。”

　　“ESET遙測數(shù)據(jù)顯示，目前已經(jīng)有少量組織的幾十個系統(tǒng)中出現(xiàn)該惡意軟件的身影?！?/p>

　　全新惡意樣本，

　　編譯完就被用于攻擊

　　雖然設(shè)計目標是在所部署的Windows域內(nèi)擦除數(shù)據(jù)，但CaddyWiper惡意軟件會使用DsRoleGetPrimaryDomainInformation（）函數(shù)來檢查目標設(shè)備是否屬于域控制器。如果是，則不會刪除該域控制器上的數(shù)據(jù)。

　　這種設(shè)計很可能是攻擊者設(shè)計的一種策略，即在目標組織的受感染網(wǎng)絡(luò)內(nèi)保持訪問能力的前提下，不斷擦除其他關(guān)鍵設(shè)備上的數(shù)據(jù)以干擾正常運營。

　　研究人員在某烏克蘭組織的網(wǎng)絡(luò)中發(fā)現(xiàn)了惡意軟件樣本。他們進行逆向分析時發(fā)現(xiàn)，該惡意軟件當天剛剛編譯完成，就馬上被用于發(fā)動攻擊。

　　Caddywiper的編譯日期為3月14日

　　ESET還表示，“CaddyWiper與此前披露的數(shù)據(jù)擦除軟件HermeticWiper、IssacWIper或者任何其他惡意軟件，均沒有明顯的代碼相似性。我們手上的分析樣本也沒有經(jīng)過數(shù)字簽名。”

　　“與HermeticWiper的部署方式類似，我們觀察到CaddyWiper也是通過GPO部署的，這表明攻擊者已經(jīng)事先控制了目標網(wǎng)絡(luò)?！?/p>

　　今年第四次

　　針對性數(shù)據(jù)擦除攻擊

　　自今年年初以來，針對烏克蘭的攻擊活動中已經(jīng)先后出現(xiàn)四種數(shù)據(jù)擦除惡意軟件，除最新成員CaddyWiper外，其他有兩種還是ESET研究實驗室的分析人員發(fā)現(xiàn)，另外一種則被微軟發(fā)現(xiàn)。

　　2月23日，就在俄羅斯軍事攻擊烏克蘭的前一天，ESET研究人員發(fā)現(xiàn)一種被命名為HermeticWiper的數(shù)據(jù)擦除惡意軟件。此惡意軟件與勒索軟件誘餌配合，共同被用于向烏克蘭發(fā)動攻勢。

　　2月24日，俄羅斯軍事攻擊烏克蘭當天，ESET研究人員又發(fā)現(xiàn)了另一種被命名為IssacWiper的數(shù)據(jù)擦除程序，以及HermeticWizard新型蠕蟲病毒（用于傳播HermeticWiper的有效載荷）。

　　微軟發(fā)現(xiàn)的是被命名為WhisperGate的擦除程序。這款惡意軟件曾在今年1月中旬被用于向烏克蘭發(fā)動數(shù)據(jù)擦除攻擊，還將自身偽裝成勒索軟件。

　　微軟公司總裁Brad Smith表示，這些針對烏克蘭組織發(fā)動破壞性攻擊的惡意軟件“目標精確”。

　　此情此景，不禁讓人聯(lián)想到2017年曾對烏克蘭等多國造成巨大影響的NotPetya惡意軟件。事后歸因認為，那場攻擊與俄羅斯GRU相關(guān)的黑客組織Sandworm有關(guān)。

　　烏克蘭安全局（SSU）在俄烏沖突爆發(fā)前表示，這類破壞性攻擊屬于“大規(guī)?；旌蠎?zhàn)爭”的組成部分。