Mint az közismert, Ukrajnát a kibertéren keresztül is támadják. Az elsők között azonosított ilyen jellegű kiberfegyver a HermeticWiper volt. Ezért elhatároztam, hogy letöltöm, és kipróbálom egy igazi gépen.
Először is, előkészítettem egy gépet. Telepítettem rá egy teljesen új Windows 7-t. A gép házán van egy Windows 7 matrica, de valami miatt nem tudtam azzal a kóddal aktiválni az operációs rendszert. Előtte meg Linux volt rajta, ezért nem tűnt fel, hogy a matricán lévő kóddal gond lenne. Mindegy, ahhoz, hogy elpusztítsam a rajta lévő adatokat, a 30 napos türelmi időszak is elég.
Az első meglepetés számomra, hogy egy alap Windows 7 - ma már - mennyire használhatatlan. A böngésző (ami itt még Internet Explorer) minden második weboldalra azt mondta, hogy nem tudja megjeleníteni. Sikerült nagy nehezen egy Firefoxot letölteni, de az meg nem jelenítette meg a betűket rendesen, csak amolyan pontokat láttam, mintha miniatürizálva lenne a szöveg. Ezek után úgy döntöttem, driverek sem kellenek.
Biztonsági intézkedésként leválasztottam a gépet a netről, majd rámásoltam a HermeticWiper-t és egy malwert, amit állítólag vele együtt telepítenek az áldozat gépére és elindítottam.
A program nem csinált semmit. Ez nem is meglepő, mert a nálam részletesebb elemzések szerint a program egy kereskedelmi forgalomban kapható partíció manager driverét használja. Ha nincs a gépen ez a program, akkor a kiberfegyver használhatatlan.
Bevallom, ez nekem, mint kibicnek, nagyon furcsa. Elvégre, mi az esélye annak, hogy a partícionáló program megtalálható az áldozat gépén? A cég weboldala szerint 530 millió felhasználójuk van, az ESET szerint pedig több száz gépen találták meg a kártevőt.
A meghajtó a program eltávolítása után is a gépen marad, tehát aki egyszer telepítette a fent említett partícionáló programot, az az operációs rendszer cseréjéig támadható marad. Bármilyen szervezeti egységnél a rendszergazdák nem engedik, hogy az alkalmazottak programokat telepítsenek a gépükre. Azt gondolom, elég kicsi az esélye, hogy ez a program kifejthesse kártékony hatását.
Ha mégis működésbe lép, akkor letörli az MBR-t (vagy ha GPT partíciós táblát használnak, akkor azt). Ez elsőre elég ijesztőnek tűnik, de fiatalabb koromban, mikor még nem voltam ennyire rutinos, gyakran felülírtam az MBR-t, mikor Linux után telepítettem a Windowst. Ez viszont viszonylag egyszerűen helyreállítható. Persze rendszergazdaként biztos nem az lenne az álmom, hogy 20-30 gépen visszaállítsam az MBR-t, de elméletben nem lehetetlen.
Összegezve tehát van egy nagyon összetett program, ami a gépek viszonylag kis százalékát meg tudja támadni, és ott okoz egy nem túl nagy problémát. Hangsúlyozom, lehet, hogy a felületes ismereteim miatt nem tudok mindent. Talán az a partíció manager program olyan Ukrajnában, mint nálunk annak idején a Total Commander volt, ki tudja? De ha nekem kellene kártékony kódot írni, ami mindent elpusztít, akkor abból indulnék ki, hogy a célgépen nincs semmi, ami segítene.
A malware szerencsére nem okozott csalódást. Pillanatok alatt végigment az összes elérhető fájlon, és titkosította azokat. Az asztalon hagyott egy üzenetet, hogy melyik e-mail címre kell írnom, ha ki vissza akarom kapni a fájlokat. Ez már valami. De ezt is a felhasználónak kell elindítania.
Tehát a régi bölcsességek továbbra is érvényesek: idegen futtatható állományt ne indíts el, csinálj biztonsági mentést.
