RoarBAT البرامج الضارة
وفقًا للاستشارة الجديدة الصادرة عن فريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الأوكرانية (CERT-UA) ، يُشتبه في أن مجموعة القرصنة الروسية `` Sandworm '' مسؤولة عن هجوم إلكتروني استهدف شبكات الدولة الأوكرانية. تم تنفيذ الهجوم من خلال استغلال حسابات VPN المخترقة التي لم يتم تأمينها بمصادقة متعددة العوامل ، مما يسمح للقراصنة بالوصول إلى الأنظمة الهامة داخل الشبكات.
بمجرد حصول مجموعة Sandworm على الدخول إلى الأجهزة المستهدفة ، استخدموا التهديد غير المعروف سابقًا RoarBAT لحذف البيانات على الأجهزة التي تعمل بنظام Windows و Bash script على أنظمة تشغيل Linux. تم تحقيق ذلك باستخدام WinRar ، وهو برنامج أرشفة شائع ، لمسح الملفات من الأجهزة المتأثرة. تسبب الهجوم في إلحاق أضرار جسيمة بالبنية التحتية لتكنولوجيا المعلومات التابعة للحكومة الأوكرانية ، مما يبرز أهمية المصادقة متعددة العوامل كإجراء أمني مهم للحماية من مثل هذه الهجمات.
جدول المحتويات
يستغل RoarBAT تطبيق أرشيف WinRAR الشهير لحذف البيانات
يستخدم ممثلو تهديد Sandworm نصًا BAT يسمى "RoarBat" على Windows. يقوم هذا البرنامج النصي بمسح الأقراص والأدلة المحددة للأجهزة المخترقة للعديد من أنواع الملفات ، بما في ذلك doc و df و png و docx و xls و xlsx و ppt و pptx و vsd و vsdx و rtf و txt و p jpeg و jpg و zip و rar ، 7z ، mp4 ، SQL ، PHP ، rar ، 7z back ، vib ، vrb ، p7s ، sys ، dll ، exe ، bin ، والتاريخ. يتم بعد ذلك أرشفة أي ملف يطابق المعايير المحددة باستخدام أداة أرشيف WinRAR الشهيرة والشرعية.
ومع ذلك ، فإن الجهات الفاعلة في التهديد تستفيد من خيار سطر الأوامر "-df" عند تنفيذ WinRAR ، مما يؤدي إلى الحذف التلقائي للملفات أثناء عملية الأرشفة. علاوة على ذلك ، تتم إزالة المحفوظات نفسها عند الانتهاء ، مما يؤدي بشكل فعال إلى محو دائم للبيانات الموجودة على جهاز الضحية. وفقًا لـ CERT-UA ، يتم تنفيذ RoarBAT من خلال مهمة مجدولة يتم توزيعها مركزيًا على أجهزة مجال Windows عبر سياسات المجموعة.
قراصنة يستهدفون أنظمة لينوكس كذلك
استخدم مجرمو الإنترنت نصًا برمجيًا Bash على أنظمة Linux ، والذي استخدم الأداة المساعدة "dd" لاستبدال محتويات أنواع الملفات المستهدفة بصفر بايت ، مما يؤدي إلى محو بياناتهم بشكل فعال. من غير المحتمل ، إن لم يكن من المستحيل ، استعادة الملفات "التي أفرغت" بواسطة أداة dd بسبب استبدال البيانات هذا.
يشير استخدام البرامج الشرعية مثل الأمر "dd" و WinRAR إلى أن الجهات الفاعلة في التهديد تهدف إلى تجنب الكشف عن طريق برامج الأمان.
أوجه التشابه مع الهجمات السابقة ضد الأهداف الأوكرانية
وفقًا لـ CERT-UA ، فإن الهجوم المدمر الأخير الذي نفذته Sandworm يحمل أوجه تشابه مذهلة مع هجوم آخر وقع في يناير 2023 على وكالة الأنباء الحكومية الأوكرانية ، `` Ukrinform '' ، والذي نُسب أيضًا إلى نفس الفاعل. يشير تنفيذ خطة التهديد وعناوين IP التي يستخدمها المهاجمون واستخدام نسخة معدلة من RoarBAT إلى التشابه بين الهجومين السيبرانيين.
