Nem, nem a cancel culture lesz a téma, hanem ennek az informatikai hadviselésben alkalmazott technikája. A 2013. óta velünk élő ransomware támadások mellett ugyanis évek óta egyre gyakoribbak a wiper típusú adattörlő kártevők, amelyeket az ötödik hadszíntéren főképp kritikus infrastruktúrák ellen vetnek be.
Emlékezetes, hogy már 2016-ban látványosan feltűntek az olyan kibertámadások, amelyeket kritikus infrastruktúrás folyamatok szabotálására terveztek. A Stuxnet megjelenése óta az ilyen kártevők tömegesen jelentek meg, leggyakrabban talán a megtámadott Ukrajna ellen kerültek legtöbbször bevetésre.
Ilyen büntető áramszüneteket többször is okoztak orosz támadások, amelyek a helyi villamosenergia-alállomás kapcsolóit és megszakítóit vették célba például az Industroyer kód segítségével. A Sandworm bűnbandához sok ilyen jellegű támadás köthető.
A támadó kódok egy speciális formája az, hogy nem titkosítanak el semmit, nem lopnak el bizalmas állományokat, hanem azonnal, agresszíven megsemmisítenek minden fájlt az adott rendszeren. Az ilyen wipernek nevezett törlő programok is képesek szabotázsra, közüzemi rendszerek megzavarására, leállítására.
Ezekről is volt már szó többször, például 2022-ben a WhisperGate nevű adattörlő kártevő szintén ukrajnai vállalatokat és intézményeket célozta meg, majd később a Hermetic Wiper kártevő támadta az ukrán kormányzati rendszereket. Sok esetben az is látható, hogy ezek nem elszigetelt bűnözői csoportok ténykedése, hanem egyértelműen állami szinten bátorított, sőt támogatott titkos akciókról van szó.
Ami miatt most mindez felidézésre került, hogy a jelentések szerint egy újabb adattörlő program támadja az ukrán kritikus infrastruktúrát. A PathWiper elnevezésű kártevőt a beszámolók szerint korábban feltört számítógépek segítségével telepítik APT szereplők, eredetét tekintve pedig a Cisco Talos szakemberei Oroszországhoz kötődőnek határozzák meg.
A kódelemzés alapján a Hermetic Wiper frissített változatának tűnik, amely hatékonyan semmisít meg adatokat a különböző rendszerhez csatlakoztatott helyi, illetve hálózati meghajtókon.
A károkozás részben egy rosszindulatú "uacinstall.vbs" Visual Basic Script kód, részben pedig egy Windows alatti .EXE fájl futtatásával valósul meg. Szisztematikus és alapos károkozásra törekszik, törli illetve véletlenszerű mintákkal felülírja az összes elérhető meghajtó Master Boot Record területét és az NTFS rendszernél található MFT fájlt, amely a tárolt fájlok és könyvtárak helyét és metaadatait tartja nyilván az adott lemezeken.
Megsemmisíti a rendszerindításhoz szükséges rendszerindító boot-szektort is, ezáltal a kritikus helyeken véletlenszerű bájtokkal felülírt számítógépek teljesen működésképtelenné válnak.
Ahogy az az adattörlő kártevőknél megszokott, ezeknél az akcióknál nem jelentkeznek zsarolási üzenettel, vagy pénzügyi váltságdíj követeléssel, a cél az öncélú pusztítás és rombolás. Úgy tűnik, a wiper kártevő család egyértelműen bekerült a hibrid hadviselés eszközei közé, amellyel a fenyegető felek a hagyományos harctéri tevékenységek mellett a számítógépes környezetekben is igyekeznek érzékeny károkozásokkal csapásokat mérni az ellenfelekre.
A lista sajnálatos módon folyamatosan bővül, így a DoubleZero, CaddyWiper, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate és AcidRain mellett sajnos újabb neveket is kénytelenek leszünk majd megjegyezni ennek az evolúciós folyamat során.
