RoarBAT Зловреден софтуер
Според нови съвети, публикувани от украинския правителствен екип за компютърно реагиране при извънредни ситуации (CERT-UA), руската хакерска група „Sandworm“ се подозира, че е отговорна за кибератака, насочена към украинските държавни мрежи. Атаката е извършена чрез използване на компрометирани VPN акаунти, които не са защитени с многофакторно удостоверяване, което позволява на хакерите да получат достъп до критични системи в мрежите.
След като групата Sandworm получи достъп до целевите устройства, те използваха неизвестната досега заплаха RoarBAT, за да изтрият данни на машини, работещи с Windows и Bash скрипт на операционни системи Linux. Това беше постигнато чрез използване на WinRar, популярна програма за архивиране, за изтриване на файлове от засегнатите устройства. Атаката причини значителни щети на ИТ инфраструктурата на украинското правителство, подчертавайки важността на многофакторното удостоверяване като критична мярка за сигурност за защита срещу подобни атаки.
Съдържание
RoarBAT използва популярното приложение за архивиране WinRAR за изтриване на данни
Актьорите на заплахата Sandworm използват BAT скрипт, наречен „RoarBat“ в Windows. Този скрипт сканира през дисковете и специфичните директории на пробитите устройства за множество типове файлове, включително doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin и дата. Всеки файл, който отговаря на зададените критерии, след това се архивира с помощта на популярния и легитимен инструмент за архивиране WinRAR.
Въпреки това, участниците в заплахата използват опцията на командния ред '-df', когато изпълняват WinRAR, което води до автоматично изтриване на файлове по време на процеса на архивиране. Освен това, самите архиви се премахват след завършване, което на практика води до окончателно изтриване на данните от устройството на жертвата. Според CERT-UA, RoarBAT се изпълнява чрез планирана задача, която се разпространява централно до устройства с домейн на Windows чрез групови правила.
Хакерите се насочват и към Linux системи
Киберпрестъпниците са използвали Bash скрипт на Linux системи, който е използвал помощната програма 'dd', за да замени съдържанието на целевите файлови типове с нула байта, като ефективно изтрива техните данни. Възстановяването на файлове, „изпразнени“ от инструмента dd, е малко вероятно, ако не и невъзможно, поради тази подмяна на данни.
Използването на законни програми като командата „dd“ и WinRAR предполага, че участниците в заплахата са имали за цел да избегнат откриването от софтуера за сигурност.
Прилики с предишни атаки срещу украински цели
Според CERT-UA, неотдавнашната разрушителна атака, извършена от Sandworm, има удивителни прилики с друга атака, извършена през януари 2023 г. срещу украинската държавна новинарска агенция „Укринформ“, която също беше приписана на същата заплаха. Прилагането на заплашителния план, IP адресите, използвани от нападателите, и използването на модифицирана версия на RoarBAT, всичко това сочи към приликата между двете кибератаки.
