※本研究報告は台湾政府のCCoE（Cyber Security Center of Excellence）との共同研究によるものである。

ロシア・ウクライナ戦争は、物理的な戦場だけでなく、ネット空間の戦場でも、激しい戦いに発展している。今回、ウクライナの組織を標的にした破壊的なマルウェアがインターネット上で複数存在していることが、研究者によって確認された。 その中の1つである「HermeticWiper」は、通常のソフトウェアの機能を悪用し、LoLBin（Living Off the Land Binaries）のような一般的なハッキング手法と同様にディスクを上書きし、ホワイトリストやネットワーク攻撃シグネチャからの検出・防御が困難なものにするマルウェアだ。 「WhisperGate」と「HermeticWiper」は破壊的なマルウェアで、「HermeticRansom」は同じハッカーチームが開発し、ランサムウェア攻撃を装ったもののだが、その真の目的は金銭ではなく、国家に雇われた犯罪組織が真の目的を隠すために使用されているマルウェアではないかと示唆されている。

このような破壊的なサイバー攻撃は、組織の日常業務に直接影響を与え、ときには業務を停止させることさえある。そして、その後の修復にかかるコストや時間の損害は当然のことながら、ネット上のスパイ（＝サイバースパイ）行為より大きな影響を組織に与えるのだ。 このことから、ウクライナと同じくサイバー戦争の最前線にある台湾は、これに関連する攻撃を警戒し、識別、保護、検出、対応、復旧の能力を向上させる必要があるのだ。

研究者の解説
ロシアとウクライナの軍事衝突が勃発し、ネット空間でも攻撃活動が活発化した。 しかし、APT攻撃によく見られるサイバースパイ行為とは異なり、ロシア・ウクライナ戦争中に発生した破壊的な攻撃は、軍事衝突中の日常業務を妨害し、復旧不可能などの大きな損害を与えるために、相手国の主要組織を標的とすることが多かった。最近、マイクロソフトが「WhisperGate」を、セキュリティベンダーのESET社とSentinel社が「HermeticWiper」という2種類の破壊的マルウェアを発見し、さらに調査を行った結果、攻撃者は、マスターブートレコード（MBR）の消去、DeviceIoControl機能によるディスク内容の上書き、ディスクユーティリティソフトの悪用、プログラムの上書きなど異なるメカニズムで破壊的マルウェアを実行することが判明した。

１，　概要
米国連邦捜査局（FBI）とサイバーセキュリティー・インフラセキュリティー庁（CISA）は、ロシア・ウクライナ戦争中に使用されたウクライナの組織内のコンピュータシステムを破壊するための破壊的かつ悪質なソフトウェアプログラムについて共同警告を発表した。 その中でも、「WhisperGate」と「HermeticWiper」の2種類のマルウェアが特に指摘されていた。
そして研究者は、2022年1月15日、「WhisperGate」がウクライナの組織を標的にしていることを発見し、その背後にある組織は「DEV-0586」であると仮定した。さらに 1月23日に、別の破壊的マルウェア「HermeticWiper」がウクライナの組織内コンピューターに展開され、システムを麻痺させていることがわかった。

２，　技術分析
以下は、「WhisperGate」と「HermeticWiper」のそれぞれの解析結果である。

A.　WhisperGate
WhisperGateは、実際には2段階のファイルを含んだマルウェアだ。 第一段階の「stage1.exe」は、主にImpacketツールによって監視・起動される。stage1.exeは、OSの起動を担うMBR（Master Boot Record）を直接上書きし、身代金要求メッセージを残す。 このマルウェアは、マスターブートレコードの破損により、システムの起動を不可能にする。
第2段階の「stage2.exe」は、.DOCX, .PPTX, VMX.などの特定の拡張子のファイルをメインディレクトリから検索し、ファイルの破壊を行うプログラムである。

B.　HermeticWiper
破壊的マルウェア HermeticWiperは、別のマルウェアである HermeticWizardを使用したアクターに関連がある。 HermeticWiperは、まずVSS（Volume Shadow Copy Service）を麻痺させ、次に￥￥.￥PhysicalDrive[drive_index]を介して物理ハードディスクデバイスをリストアップする。