Microsoft опубликовала детальный разбор деструктивного бэкдора GigaWiper — вредоносной программы для Windows, написанной на Go и объединяющей три ранее независимых инструмента уничтожения данных в единую модульную платформу. Бэкдор не эксплуатирует конкретную уязвимость, а разворачивается после того, как атакующий уже получил доступ к системе. Оператор выбирает способ деструкции через нумерованные команды: полное затирание диска, многопроходная перезапись системного раздела или псевдошифрование файлов без сохранения ключа. Поскольку патча не существует — это не уязвимость, а инструмент постэксплуатации — единственной реальной защитой остаются раннее обнаружение и чистые офлайн-резервные копии.
Архитектура уничтожения: три модуля — один результат
GigaWiper предоставляет оператору три взаимозаменяемых деструктивных модуля, каждый из которых делает восстановление данных невозможным без резервных копий:
- Вайпер физического диска — перезаписывает содержимое диска на уровне raw-доступа, уничтожает таблицу разделов и инициирует перезагрузку. Файловая система не удаляется пофайлово — уничтожается структура диска целиком.
- Псевдо-вымогатель на базе Crucio — шифрует файлы, добавляет расширение .candy, меняет обои рабочего стола на предупреждающее изображение. По данным Microsoft, ключ шифрования не сохраняется: нет ни записки с требованием выкупа, ни возможности расшифровки. Это деструкция, замаскированная под вымогательство.
- Вайпер системного раздела — многопроходная перезапись раздела Windows различными паттернами данных. Microsoft идентифицирует его как переписанную на Go версию инструмента, отслеживаемого под именем FlockWiper.
Тактика маскировки деструкции под вымогательство не нова — NotPetya в 2017 году использовал тот же приём. Маскировка даёт атакующему время: инцидент первоначально выглядит как случай шифрования с возможностью восстановления, а не как необратимое уничтожение.
Шпионаж и удалённое управление
Деструкция — лишь часть функциональности. По данным Microsoft, тот же бэкдор обеспечивает полноценное наблюдение за заражённой системой:
- Снимки экрана со всех мониторов и запись экрана в реальном времени
- Скрытая VNC-сессия с возможностью управления мышью и клавиатурой
- Сбор системной информации, управление процессами и службами
- Редактирование реестра и очистка журналов событий Windows
В исследованных образцах Microsoft обнаружила неактивные заглушки команд, включая модуль кейлоггера и дополнительные вайперы, что указывает на продолжающуюся разработку платформы.
Маскировка и коммуникации
GigaWiper использует многоуровневую маскировку. Для закрепления в системе создаётся запланированная задача OneDrive Update с интервалом запуска в одну минуту. Конфигурация хранится в ключе реестра HKCU\SOFTWARE\OneDrive\Environment. При открытии канала удалённого управления бэкдор создаёт правило брандмауэра с именем легитимного компонента Windows — Microsoft.Windows.CloudExperienceHost.
Особого внимания заслуживает инфраструктура командного управления. Вместо типичных HTTP-запросов к выделенным серверам GigaWiper использует легитимные бизнес-инструменты: RabbitMQ для получения задач, Redis для передачи результатов и MinIO для эксфильтрации данных. В организациях, где эти сервисы уже используются, такой трафик выглядит штатным.
Атрибуция и связь с известными кампаниями
Microsoft не называет конкретную страну в своём отчёте. Однако компания прослеживает код псевдо-вымогателя к инструменту Crucio, а многопроходный вайпер — к FlockWiper, оценивая, что все три компонента созданы одним разработчиком. В обоих инструментах обнаружен повторяющийся тег «GRAT» — в отладочных путях FlockWiper и в именах функций GigaWiper.
Crucio фигурирует в декабрьском адвизори CISA 2023 года, посвящённом группировке CyberAv3ngers, которую агентство связывает с Корпусом стражей исламской революции Ирана (IRGC). Именно эта группировка в 2023 году атаковала объекты водоснабжения и энергетики в США, Израиле, Великобритании и Ирландии, получая доступ к промышленным контроллерам через интернет. Образец Crucio, на который ссылается Microsoft, несёт тот же идентификатор, что указан в адвизори CISA.
Компания Binary Defense описала тот же вредонос под именем BLUERABBIT. По данным исходного материала, оба отчёта содержат одинаковые четыре хеша файлов и совпадающие адреса командных серверов. Binary Defense, ссылаясь на Google Threat Intelligence Group, предположительно связывает вредонос с группировкой иранского происхождения, нацеленной на израильские организации. Следует подчеркнуть: прямая атрибуция GigaWiper конкретному государственному актору не подтверждена Microsoft, а связь через кодовую базу Crucio — это косвенное свидетельство, а не оперативная атрибуция.
Расхождения в таймлайне между источниками также заслуживают внимания: Microsoft датирует деструктивную активность октябрём 2025 года, тогда как Binary Defense впервые зафиксировала те же файлы в марте 2026 года. Эти данные не обязательно противоречат друг другу, но могут указывать на разные этапы кампании.
Контекст шире одного инструмента. Unit 42 компании Palo Alto Networks фиксирует всплеск активности вайперов иранского происхождения против израильских целей на протяжении 2025–2026 годов, в том числе со стороны отдельной группировки Handala Hack.
Индикаторы компрометации
Известные адреса командных серверов:
185.182.193[.]21212.8.248[.]104
Полный список хешей файлов и имён детектирования доступен в отчёте Microsoft.
Рекомендации по обнаружению и защите
Ключевые сигналы для обнаружения:
- Запланированная задача OneDrive Update с интервалом выполнения в одну минуту
- Трафик RabbitMQ или Redis с рабочих станций, а не с серверов
- Использование команд
takeownиicaclsдля захвата прав на загрузочные файлы (bootmgr,ntoskrnl.exe) вне окон планового обслуживания
Меры защиты по рекомендации Microsoft:
- Включить защиту от несанкционированного отключения антивируса (tamper protection)
- Заблокировать указанные адреса командных серверов на уровне сетевого периметра
- Перевести средства обнаружения и реагирования на конечных точках в режим блокировки
- Активировать облачную защиту и автоматическое исправление
- Обеспечить наличие и регулярное тестирование офлайн-резервных копий — для всех трёх деструктивных модулей это единственный путь восстановления
GigaWiper демонстрирует принципиальный сдвиг в архитектуре деструктивного инструментария: один имплант с модульным набором возможностей — от шпионажа до необратимого уничтожения — лишает защитников возможности определить намерение атакующего по типу обнаруженного вредоноса. Решение о деструкции принимается оператором уже после компрометации. Приоритетное действие — проверить инфраструктуру на перечисленные индикаторы, убедиться в работоспособности офлайн-бэкапов и настроить мониторинг аномального трафика RabbitMQ и Redis с рабочих станций.