Trotz dieser schieren Menge an Wiper-Malware schienen Russlands Cyberangriffe auf die Ukraine im Jahr 2022 im Vergleich zu früheren Jahren seines Konflikts dort in mancher Hinsicht relativ wirkungslos zu sein. Russland hat seit der Revolution des Landes 2014 wiederholt zerstörerische Cyberkriegskampagnen gegen die Ukraine gestartet, die alle anscheinend darauf abzielen, die Kampfbereitschaft der Ukraine zu schwächen, Chaos zu säen und die Ukraine für die internationale Gemeinschaft als gescheiterten Staat erscheinen zu lassen. Von 2014 bis 2017 führte beispielsweise der russische Militärgeheimdienst GRU eine Reihe beispielloser Cyberangriffe durch: Sie unterbrachen und versuchten dann, die Ergebnisse der ukrainischen Präsidentschaftswahlen 2014 zu fälschen, verursachten die ersten von Hackern ausgelösten Stromausfälle und setzten schließlich NotPetya frei. eine selbstreplizierende Wiper-Malware, die die Ukraine traf und Hunderte von Netzwerken in Regierungsbehörden, Banken, Krankenhäusern und Flughäfen zerstörte, bevor sie sich weltweit ausbreitete und einen immer noch unerreichten Schaden von 10 Milliarden US-Dollar anrichtete.
Aber seit Anfang 2022 haben Russlands Cyberangriffe auf die Ukraine einen anderen Gang eingelegt. Anstelle von Meisterwerken böswilligen Codes, deren Erstellung und Einsatz Monate dauerte, wie in früheren Angriffskampagnen Russlands, haben sich die Cyberangriffe des Kremls zu schnellen, schmutzigen, unerbittlichen, wiederholten und relativ einfachen Sabotageakten beschleunigt.
Tatsächlich scheint Russland in seinem Wischer-Code bis zu einem gewissen Grad Qualität gegen Quantität ausgetauscht zu haben. Die meisten der über ein Dutzend Wiper, die 2022 in der Ukraine eingeführt wurden, waren relativ grob und unkompliziert in ihrer Datenvernichtung, ohne die komplexen Mechanismen zur Selbstverbreitung, die in älteren GRU-Wischer-Tools wie NotPetya, BadRabbit oder Olympic Destroyer zu finden waren. In einigen Fällen zeigen sie sogar Anzeichen von überstürzten Programmieraufträgen. HermeticWiper, eines der ersten Löschwerkzeuge, das die Ukraine kurz vor der Invasion im Februar 2022 traf, verwendete ein gestohlenes digitales Zertifikat, um legitim zu erscheinen und eine Entdeckung zu vermeiden, ein Zeichen für eine ausgeklügelte Planung vor der Invasion. Aber HermeticRansom, eine Variante derselben Malware-Familie, die entwickelt wurde, um ihren Opfern als Ransomware zu erscheinen, enthielt laut ESET schlampige Programmierfehler. HermeticWizard, ein begleitendes Tool zur Verbreitung von HermeticWiper von System zu System, war ebenfalls bizarr unausgegoren. Es wurde entwickelt, um neue Computer zu infizieren, indem es versuchte, sich bei ihnen mit fest codierten Anmeldeinformationen anzumelden, aber es versuchte nur acht Benutzernamen und nur drei Passwörter: 123, Qaz123 und Qwerty123.
Der vielleicht wirkungsvollste aller russischen Wiper-Malware-Angriffe auf die Ukraine im Jahr 2022 war AcidRain, ein datenzerstörender Code, der auf Viasat-Satellitenmodems abzielte. Dieser Angriff legte einen Teil der militärischen Kommunikation der Ukraine lahm und breitete sich sogar auf Satellitenmodems außerhalb des Landes aus, wodurch die Fähigkeit, Daten von Tausenden von Windkraftanlagen in Deutschland zu überwachen, gestört wurde. Die angepasste Codierung, die erforderlich ist, um auf die auf diesen Modems verwendete Linux-Form abzuzielen, legt nahe, wie das gestohlene Zertifikat, das in HermeticWiper verwendet wird, dass die GRU-Hacker, die AcidRain gestartet haben, es vor der russischen Invasion sorgfältig vorbereitet hatten.
Aber während der Krieg fortschreitet – und Russland zunehmend unvorbereitet auf den längerfristigen Konflikt erscheint, in den es sich verstrickt hat – sind seine Hacker zu kurzfristigeren Angriffen übergegangen, vielleicht in dem Bemühen, das Tempo eines physischen Krieges mit ständigen Veränderungen zu erreichen Frontlinien. Bis Mai und Juni favorisierte der GRU zunehmend den wiederholten Einsatz des Datenvernichtungstools CaddyWiper, eines seiner einfachsten Wiper-Exemplare. Laut Mandiant hat die GRU CaddyWiper in diesen zwei Monaten fünfmal und im Oktober noch viermal eingesetzt und seinen Code nur so weit geändert, dass er nicht von Antiviren-Tools entdeckt wurde.
Doch selbst dann hat sich die Explosion neuer Wiper-Varianten fortgesetzt: ESET zum Beispiel listet Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe und SwiftSlicer alle als neue Formen zerstörerischer Malware auf, die sich oft als Ransomware ausgeben erschien in der Ukraine erst seit Oktober.
Aber ESET sieht diese Flut von Wischern nicht als eine Art intelligente Evolution, sondern eher als eine Art Brute-Force-Ansatz. Russland scheint jedes mögliche zerstörerische Instrument auf die Ukraine zu werfen, um seinen Verteidigern einen Schritt voraus zu sein und inmitten eines zermürbenden physischen Konflikts so viel zusätzliches Chaos wie möglich anzurichten.
„Man kann nicht sagen, dass ihre technische Raffinesse zunimmt oder abnimmt, aber ich würde sagen, dass sie mit all diesen verschiedenen Ansätzen experimentieren“, sagt Robert Lipovsky, leitender Threat Intelligence Researcher bei ESET. „Sie sind alle dabei und versuchen, Chaos anzurichten und Störungen zu verursachen.“