スロバキアのセキュリティ企業のESETは現地時間3月1日、ウクライナ政府機関などを狙う新たな破壊型マルウェア「IsaacWiper」と、先に発見した「HermeticWiper」の解析状況について報告した。事前に周到な準備がなされた可能性があると指摘している。
同社は、2月24日にWindowsマシンのマスターブートレコードを破壊してコンピューターを起動不能にするHermeticWiperの存在を報告。その後の解析でHermeticWiperは、目的を達成した後にディスク上にある自身のデータをランダムなバイトで上書きすることが判明した。
さらに、「HermeticRansom」というランサムウェアがおとりとして用意され、これもHermeticWiperが存在した痕跡を隠すために使われていた。攻撃者がコンピューターにHermeticWiperが存在した痕跡を無くすことで、調査を妨害する狙いがあると見られている。
また、HermeticWiperが「HermeticWizard」という独自開発されたワーム(ITシステム環境内で無尽蔵に拡散する不正プログラム)を利用して、侵入先の内部ネットワークに広がることも分かった。
HermeticWiperには「Hermetica Digital」という企業の名称で有効なデジタルコード署名が付与され、正規アプリケーションのように見せかけていた。ESETによると、Hermetica Digitalはキプロスに登記されている企業で、デジタルコード署名がこの企業から盗み出されたものではないという。
署名はDigiCertから2021年4月13日に発行されていた。HermeticWiperがコンパイルされたのは、少なくとも2021年12月28日と見られている。攻撃者は、ウクライナ関連機関にマルウェア攻撃を仕掛けるため、Hermetica Digitalという実態のない会社を作り、2021年4月の時点でDigiCertにデジタルコード署名を発行させた可能性があるという。ESETはDigiCertに、デジタルコード署名を直ちに無効化するよう要請した。
こうした事実から同社で脅威調査の責任者を務めるJean-Ian Boutin氏は、攻撃者が事前に標的とする組織のActiveDirectoryのサーバーに侵入して、さまざまな情報を把握していた様子がうかがえると指摘している。
一方のIsaacWiperは、HermeticWipeによる攻撃翌日の2月24日に、ウクライナ政府のネットワークに対して攻撃を行い、同25日には新バージョンのIsaacWiperが投入された。同社の分析では、当初のIsaacWiperでは一部のコンピューターを起動不能にさせることができなかったため、攻撃者が迅速にプログラムを修正した可能性があるという。
攻撃者は、IsaacWiperを拡散させるためにリモートアクセスツールの「RemCom」を使用しているほか、システムへの侵入検査などに使われるセキュリティツールの「Impacket」を悪用することも分かった。なお、IsaacWiperがコンパイルされたのは、少なくとも2021年10月19日だったとしている。
時系列で見たウクライナを狙う破壊型マルウェアの動向(出典:ESET)
ESETは、ウクライナ政府機関を標的にする一連の破壊型マルウェアの攻撃者は特定できていないとしつつ、「HermeticWiperが複数のウクライナ組織を標的にしており、ロシアがウクライナに侵攻を開始する数時間前に実行された」と指摘している。