RoarBAT ম্যালওয়্যার

ইউক্রেনীয় সরকার কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) দ্বারা প্রকাশিত নতুন পরামর্শ অনুসারে, রাশিয়ান হ্যাকিং গ্রুপ 'স্যান্ডওয়ার্ম' ইউক্রেনের রাষ্ট্রীয় নেটওয়ার্কগুলিকে লক্ষ্য করে সাইবার আক্রমণের জন্য দায়ী বলে সন্দেহ করা হচ্ছে। আক্রমণটি আপোসকৃত VPN অ্যাকাউন্টগুলিকে কাজে লাগিয়ে চালানো হয়েছিল যেগুলি মাল্টি-ফ্যাক্টর প্রমাণীকরণের সাথে সুরক্ষিত ছিল না, হ্যাকারদের নেটওয়ার্কগুলির মধ্যে গুরুত্বপূর্ণ সিস্টেমগুলিতে অ্যাক্সেস পাওয়ার অনুমতি দেয়।

একবার স্যান্ডওয়ার্ম গ্রুপ টার্গেট করা ডিভাইসগুলিতে প্রবেশ করে, তারা উইন্ডোজ চালিত মেশিনগুলির ডেটা এবং লিনাক্স অপারেটিং সিস্টেমে একটি ব্যাশ স্ক্রিপ্ট মুছে ফেলার জন্য পূর্বের অজানা হুমকি RoarBAT ব্যবহার করে। প্রভাবিত ডিভাইস থেকে ফাইল মুছে ফেলার জন্য WinRar, একটি জনপ্রিয় আর্কাইভিং প্রোগ্রাম ব্যবহার করে এটি সম্পন্ন করা হয়েছিল। আক্রমণটি ইউক্রেন সরকারের আইটি অবকাঠামোর উল্লেখযোগ্য ক্ষতি করেছে, এই ধরনের আক্রমণ থেকে রক্ষা করার জন্য একটি গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা হিসাবে মাল্টি-ফ্যাক্টর প্রমাণীকরণের গুরুত্ব তুলে ধরে।

RoarBAT ডেটা মুছে ফেলার জন্য জনপ্রিয় WinRAR আর্কাইভ অ্যাপ্লিকেশন ব্যবহার করে

স্যান্ডওয়ার্ম হুমকি অভিনেতারা উইন্ডোজে 'রোরব্যাট' নামে একটি বিএটি স্ক্রিপ্ট ব্যবহার করে। এই স্ক্রিপ্টটি ডক, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar সহ অসংখ্য ফাইল টাইপের জন্য লঙ্ঘিত ডিভাইসের ডিস্ক এবং নির্দিষ্ট ডিরেক্টরিগুলির মাধ্যমে স্ক্যান করে। , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, এবং তারিখ। সেট মানদণ্ডের সাথে মেলে এমন যেকোনো ফাইল জনপ্রিয় এবং বৈধ WinRAR আর্কাইভার টুল ব্যবহার করে সংরক্ষণাগারভুক্ত করা হয়।

যাইহোক, হুমকি অভিনেতারা WinRAR চালানোর সময় '-df' কমান্ড-লাইন বিকল্পটি ব্যবহার করে, যার ফলে সংরক্ষণাগার প্রক্রিয়া চলাকালীন ফাইলগুলি স্বয়ংক্রিয়ভাবে মুছে ফেলা হয়। অধিকন্তু, আর্কাইভগুলি সম্পূর্ণ হওয়ার পরে সরানো হয়, যা কার্যকরভাবে শিকারের ডিভাইসে ডেটা স্থায়ীভাবে মুছে ফেলার দিকে পরিচালিত করে। CERT-UA অনুযায়ী, RoarBAT একটি নির্ধারিত টাস্কের মাধ্যমে সম্পাদিত হয় যা কেন্দ্রীয়ভাবে গোষ্ঠী নীতির মাধ্যমে Windows ডোমেইন ডিভাইসে বিতরণ করা হয়।

হ্যাকাররা লিনাক্স সিস্টেমকেও টার্গেট করে

সাইবার অপরাধীরা লিনাক্স সিস্টেমে একটি ব্যাশ স্ক্রিপ্ট ব্যবহার করত, যা 'dd' ইউটিলিটি ব্যবহার করে টার্গেট করা ফাইলের বিষয়বস্তুকে জিরো বাইট দিয়ে প্রতিস্থাপন করে, কার্যকরভাবে তাদের ডেটা মুছে দেয়। এই ডেটা প্রতিস্থাপনের কারণে dd টুল দ্বারা 'খালি করা' ফাইল পুনরুদ্ধার করা অসম্ভব, যদি অসম্ভব না হয়।

'dd' কমান্ড এবং WinRAR এর মতো বৈধ প্রোগ্রামের ব্যবহার পরামর্শ দেয় যে হুমকি অভিনেতারা নিরাপত্তা সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে লক্ষ্য করে।

ইউক্রেনীয় লক্ষ্যবস্তুর বিরুদ্ধে পূর্ববর্তী আক্রমণের সাথে মিল

CERT-UA-এর মতে, স্যান্ডওয়ার্ম দ্বারা সম্পাদিত সাম্প্রতিক ধ্বংসাত্মক আক্রমণটি ইউক্রেনের রাষ্ট্রীয় সংবাদ সংস্থা 'ইউকরিনফর্ম'-এ জানুয়ারি 2023-এ ঘটে যাওয়া আরেকটি আক্রমণের সাথে সাদৃশ্যপূর্ণ, যা একই হুমকি অভিনেতাকে দায়ী করা হয়েছিল। হুমকির পরিকল্পনার বাস্তবায়ন, আক্রমণকারীদের দ্বারা ব্যবহৃত IP ঠিকানা এবং RoarBAT-এর একটি পরিবর্তিত সংস্করণের নিয়োগ সবই দুটি সাইবার আক্রমণের মধ্যে সাদৃশ্যের দিকে ইঙ্গিত করে।