Nieuwe golf malware sloopt computers Oekraïense overheid
'Wipers' wissen computers

Nieuwe golf malware sloopt computers Oekraïense overheid

01-03-2022 16:15 Laatste update: 16:17

Na een eerste golf digitale aanvallen tijdens het begin van de Russische invasie in Oekraïne is er nu een tweede stuk destructieve malware ontdekt. Opnieuw gaat het om een zogenoemde 'wiper': malware die computers volledig wist en sloopt zonder een spoor na te laten.

Dit soort gevaarlijke malware werd al door beveiligingsonderzoekers van ESET en Symantec ontdekt op veel computers in Oekraïne in de uren voordat het Russische leger zijn inval begon. Nu hebben onderzoekers van ESET een tweede wiper aangetroffen op onder meer Oekraïense overheidscomputers.

Het eerste stuk malware heeft de naam 'HermeticWiper' gekregen, deze tweede variant heet 'IsaacWiper'. Door de destructieve aard van de malware is nog niet achterhaald wie er achter de aanvallen zit. Ook een verband tussen de twee wipers is volgens ESET met de huidige informatie nog niet te leggen. "Het is belangrijk om te weten dat IsaacWiper is aangetroffen bij Oekraïense overheidsinstanties die niet door HermeticWiper getroffen zijn."

Malware al maanden sluimerend

Wel is duidelijk dat ook de aanvallen met IsaacWiper begonnen op 24 februari, dezelfde dag als de Russische invasie. Computers zijn al maanden geleden besmet met de malware, die vervolgens wachtte op een sein om te activeren. HermeticWiper is volgens ESET op 28 december 2021 gemaakt, IsaacWiper al op 19 oktober 2021. "Als er niet met dat tijdstip gerommeld is, zou IsaacWiper in eerdere maanden ook gebruikt kunnen zijn", stelt ESET.

De twee wipers gebruiken allebei andere methoden om zich binnen het netwerk van een organisatie te verspreiden. Ook gebruiken zij beide wipers andere veiligheidscertificaten gebruikt: zo'n certificaat zorgt ervoor dat de alarmbellen niet gaan rinkelen.

Het certificaat van IsaacWiper zou reeds zijn teruggetrokken. ESET heeft het bedrijf DigiCert gevraagd om het certificaat van HermeticWiper onmiddellijk terug te trekken. Vermoedelijk hebben de makers van de malware dat certificaat onder valse voorwendselen bemachtigd.

Cyberaanvallen

De dagen voorafgaand aan de Russische invasie in Oekraïne werden overheidsinstellingen en banken in het land ook al getroffen door cyberaanvallen. De Oekraïense autoriteiten wezen toen richting Rusland. Ook de veiligheidsdiensten van de VS en het Verenigd Koninkrijk zeiden dat het waarschijnlijk ging om aanvallen door de Russische inlichtingendienst, de GRU.