Nach Angaben von Microsoft Threat Intelligence vereint GigaWiper Funktionen, die bislang eher getrennt voneinander auftraten. Statt nur als klassischer Wiper eingesetzt zu werden, verschafft die Malware zunächst dauerhaften Zugang, ermöglicht Fernsteuerung, Aufklärung und Befehlsausführung und hält die zerstörerischen Optionen bis zu einem späteren Zeitpunkt bereit. Microsoft spricht deshalb von einer „Wiper-Funktion innerhalb einer Backdoor“.

Microsoft zufolge unterstützt die Backdoor rund 20 Befehle. Dazu gehören die Ausführung einer entfernten Shell, Dateiverwaltung, Prozesskontrolle, Systemaufklärung, das Erstellen von Bildschirmfotos sowie versteckte Remote-Desktop-Sitzungen. Diese Fähigkeiten sollen Angreifern laut dem Blogbeitrag umfangreiche operative Möglichkeiten geben, um infizierte Systeme zu kontrollieren und zusätzliche Werkzeuge nachzuladen, bevor störende oder zerstörerische Aktionen ausgelöst werden.

Besonders hebt Microsoft drei destruktive Module hervor. Eines davon ist ein Raw-Disk-Wiper, der physische Datenträger überschreibt und Partitionsinformationen zerstört. Hinzu kommt eine Fake-Ransomware, die laut Microsoft von der Ransomware-Familie Crucio abgeleitet ist und Dateien mit zufälligen Schlüsseln verschlüsselt, die absichtlich verworfen werden, sodass eine Wiederherstellung unmöglich wird. Das dritte Modul ist ein Mehrfachdurchlauf-Wiper auf Basis von FlockWiper, der Dateien wiederholt überschreibt, um eine forensische Wiederherstellung zu erschweren.

Auch die Kommandoinfrastruktur ist laut den Forschern modular aufgebaut. Anstelle der in diesem Bereich typischen Kommunikation über HTTP oder DNS nutzen die Betreiber RabbitMQ, eine Implementierung des Advanced Message Queuing Protocols, um Befehle vom C2-Server zu empfangen. Ein Redis-Server dient dazu, Befehlsstatus und Ausgaben zu aktualisieren.

Microsoft weist darauf hin, dass auch die Google Threat Intelligence Group die Malware beobachtet und sie unter dem Namen BlueRabbit führt. Ein früherer Bericht von Binary Defense hatte BlueRabbit ebenfalls beschrieben und einem im Iran ansässigen Bedrohungsakteur zugeschrieben. Microsoft selbst ordnet GigaWiper in seinem Beitrag jedoch keinem bestimmten Akteur und keinem Staat zu.

In der Einordnung durch Microsoft steht GigaWiper für eine Weiterentwicklung destruktiver Werkzeuge: Mehrere Funktionen wurden demnach in einer einzigen belastbaren Backdoor zusammengeführt, was Angreifern zusätzliche Wege zur Kontrolle und Zerstörung infizierter Systeme eröffnet. Im Beitrag wird zudem auf jüngere Einsätze von Wipern verwiesen, darunter der Lotus-Wiper gegen venezolanische Energieunternehmen sowie der umfangreiche Einsatz von Wipern durch russische Akteure gegen Ziele in der Ukraine.

Für die Abwehr empfiehlt Microsoft mehrere konkrete Maßnahmen. Dazu zählen mandantenweite Manipulationsschutzfunktionen, damit Angreifer Sicherheitsdienste nicht stoppen oder Antivirus-Ausnahmen setzen können. Außerdem empfiehlt Microsoft, DisableLocalAdminMerge in Intune oder in der Sicherheitskonfiguration von Microsoft Defender for Endpoint zu aktivieren, um Änderungen an Antivirus-Ausnahmen über Gruppenrichtlinienobjekte zu verhindern. Wo möglich, sollen Organisationen zudem den direkten Zugriff auf bekannte C2-Infrastruktur blockieren, gestützt auf eigene Quellen zur Bedrohungsaufklärung.

Zusätzlich rät Microsoft dazu, cloudbasierte Schutzfunktionen in den jeweils eingesetzten Antivirus-Produkten zu aktivieren. Laut den Forschern blockieren cloudgestützte Machine-Learning-Schutzmechanismen den Großteil neuer und unbekannter Bedrohungen. Darüber hinaus sollten Unternehmen die Ausführung von Programmdateien unterbinden, sofern diese nicht Kriterien zu Verbreitung, Alter oder Vertrauenslisten erfüllen.