Microsoft опублікувала детальний розбір деструктивного бекдора GigaWiper — шкідливої програми для Windows, написаної на Go і такої, що об’єднує три раніше незалежні інструменти знищення даних в єдину модульну платформу. Бекдор не експлуатує конкретну вразливість, а розгортається після того, як зловмисник уже отримав доступ до системи. Оператор обирає спосіб деструкції за допомогою пронумерованих команд: повне стирання диска, багатопрохідний перезапис системного розділу або псевдошифрування файлів без збереження ключа. Оскільки патча не існує — це не вразливість, а постексплуатаційний інструмент — єдиним реальним захистом залишаються раннє виявлення та чисті офлайн-резервні копії.
Архітектура знищення: три модулі — один результат
GigaWiper надає оператору три взаємозамінні деструктивні модулі, кожен із яких робить відновлення даних неможливим без резервних копій:
- Вайпер фізичного диска — перезаписує вміст диска на рівні raw-доступу, знищує таблицю розділів і ініціює перезавантаження. Файлова система не видаляється пофайлово — знищується структура диска в цілому.
- Псевдовимагач на базі Crucio — шифрує файли, додає розширення .candy, змінює шпалери робочого стола на попереджувальне зображення. За даними Microsoft, ключ шифрування не зберігається: немає ані записки з вимогою викупу, ані можливості розшифрування. Це деструкція, замаскована під вимагання.
- Вайпер системного розділу — багатопрохідний перезапис розділу Windows різними патернами даних. Microsoft ідентифікує його як переписану на Go версію інструмента, що відстежується під назвою FlockWiper.
Тактика маскування деструкції під вимагальне ПЗ не нова — NotPetya у 2017 році використовував той самий прийом. Маскування дає атакувальному час: інцидент спершу виглядає як випадок шифрування з можливістю відновлення, а не як незворотне знищення.
Шпигунство та віддалене керування
Деструкція — лише частина функціональності. За даними Microsoft, той самий бекдор забезпечує повноцінне спостереження за зараженою системою:
- Скріншоти з усіх моніторів і запис екрана в реальному часі
- Прихована VNC-сесія з можливістю керування мишею та клавіатурою
- Збирання системної інформації, керування процесами та службами
- Редагування реєстру й очищення журналів подій Windows
В досліджених зразках Microsoft виявила неактивні заглушки команд, зокрема модуль кейлогера та додаткові вайпери, що вказує на триваючу розробку платформи.
Маскування та комунікації
GigaWiper використовує багаторівневе маскування. Для закріплення в системі створюється заплановане завдання OneDrive Update з інтервалом запуску в одну хвилину. Конфігурація зберігається в ключі реєстру HKCU\SOFTWARE\OneDrive\Environment. Під час відкриття каналу віддаленого керування бекдор створює правило брандмауера з назвою легітимного компонента Windows — Microsoft.Windows.CloudExperienceHost.
Окремої уваги заслуговує інфраструктура командного керування. Замість типових HTTP-запитів до виділених серверів GigaWiper використовує легітимні бізнес-інструменти: RabbitMQ для отримання задач, Redis для передавання результатів і MinIO для ексфільтрації даних. В організаціях, де ці сервіси вже використовуються, такий трафік виглядає штатним.
Атрибуція та зв’язок із відомими кампаніями
Microsoft не називає конкретну країну у своєму звіті. Водночас компанія простежує код псевдовимагача до інструмента Crucio, а багатопрохідний вайпер — до FlockWiper, оцінюючи, що всі три компоненти створені одним розробником. В обох інструментах виявлено повторюваний тег «GRAT» — у налагоджувальних шляхах FlockWiper та в назвах функцій GigaWiper.
Crucio фігурує в грудневому advisory CISA 2023 року, присвяченому угрупованню CyberAv3ngers, яке агентство пов’язує з Корпусом вартових Ісламської революції Ірану (IRGC). Саме це угруповання у 2023 році атакувало об’єкти водопостачання та енергетики у США, Ізраїлі, Великій Британії та Ірландії, отримуючи доступ до промислових контролерів через інтернет. Зразок Crucio, на який посилається Microsoft, має той самий ідентифікатор, що й зазначений в advisory CISA.
Компанія Binary Defense описала той самий шкідливий інструмент під назвою BLUERABBIT. За даними вихідного матеріалу, обидва звіти містять однакові чотири хеші файлів і збігаються за адресами командних серверів. Binary Defense, посилаючись на Google Threat Intelligence Group, імовірно пов’язує шкідливе ПЗ з угрупованням іранського походження, що націлене на ізраїльські організації. Слід наголосити: пряма атрибуція GigaWiper конкретному державному актору не підтверджена Microsoft, а зв’язок через кодову базу Crucio — це опосередкований доказ, а не оперативна атрибуція.
Розбіжності в таймлайні між джерелами також заслуговують на увагу: Microsoft датує деструктивну активність жовтнем 2025 року, тоді як Binary Defense вперше зафіксувала ті самі файли в березні 2026 року. Ці дані не обов’язково суперечать одне одному, але можуть вказувати на різні етапи кампанії.
Контекст виходить за межі одного інструмента. Unit 42 компанії Palo Alto Networks фіксує сплеск активності вайперів іранського походження проти ізраїльських цілей упродовж 2025–2026 років, зокрема з боку окремого угруповання Handala Hack.
Індикатори компрометації
Відомі адреси командних серверів:
185.182.193[.]21212.8.248[.]104
Повний список хешів файлів і назв детектувань доступний у звіті Microsoft.
Рекомендації щодо виявлення та захисту
Ключові сигнали для виявлення:
- Заплановане завдання OneDrive Update з інтервалом виконання в одну хвилину
- Трафік RabbitMQ або Redis з робочих станцій, а не з серверів
- Використання команд
takeownіicaclsдля захоплення прав на завантажувальні файли (bootmgr,ntoskrnl.exe) поза вікнами планового обслуговування
Заходи захисту за рекомендаціями Microsoft:
- Увімкнути захист від несанкціонованого вимкнення антивірусного захисту (tamper protection)
- Заблокувати зазначені адреси командних серверів на рівні мережевого периметра
- Перевести засоби виявлення та реагування на кінцевих точках у режим блокування
- Активувати хмарний захист та автоматичне виправлення
- Забезпечити наявність і регулярне тестування офлайн-резервних копій — для всіх трьох деструктивних модулів це єдиний шлях відновлення
GigaWiper демонструє принциповий зсув в архітектурі деструктивного інструментарію: один імплант із модульним набором можливостей — від шпигунства до незворотного знищення — позбавляє захисників можливості визначити намір нападника за типом виявленого шкідливого ПЗ. Рішення про деструкцію ухвалюється оператором уже після компрометації. Пріоритетна дія — перевірити інфраструктуру на наявність перелічених індикаторів, переконатися в працездатності офлайн-резервних копій і налаштувати моніторинг аномального трафіку RabbitMQ та Redis з робочих станцій.