Programari maliciós RoarBAT
Segons un nou assessorament publicat per l'Equip de Resposta a Emergències Informàtiques del Govern d'Ucraïna (CERT-UA), se sospita que el grup de pirateria rus 'Sandworm' és responsable d'un ciberatac dirigit a les xarxes estatals d'Ucraïna. L'atac es va dur a terme mitjançant l'explotació de comptes VPN compromesos que no estaven assegurats amb autenticació multifactor, cosa que va permetre als pirates informàtics accedir a sistemes crítics dins de les xarxes.
Una vegada que el grup Sandworm va accedir als dispositius objectiu, van utilitzar l'amenaça RoarBAT desconeguda per eliminar dades de les màquines amb Windows i un script Bash als sistemes operatius Linux. Això es va aconseguir mitjançant l'ús de WinRar, un popular programa d'arxiu, per esborrar fitxers dels dispositius afectats. L'atac va causar danys importants a la infraestructura informàtica del govern ucraïnès, destacant la importància de l'autenticació multifactorial com a mesura de seguretat crítica per protegir-se d'aquests atacs.
Taula de continguts
RoarBAT explota la popular aplicació d'arxiu WinRAR per eliminar dades
Els actors de l'amenaça Sandworm utilitzen un script BAT anomenat "RoarBat" a Windows. Aquest script explora els discs i directoris específics dels dispositius incompliments per trobar nombrosos tipus de fitxers, inclosos doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z enrere, vib, vrb, p7s, sys, dll, exe, bin i data. A continuació, qualsevol fitxer que coincideixi amb els criteris establerts s'arxiva mitjançant la popular i legítima eina d'arxiu WinRAR.
Tanmateix, els actors de l'amenaça aprofiten l'opció de línia d'ordres "-df" quan executen WinRAR, donant lloc a l'eliminació automàtica dels fitxers durant el procés d'arxivament. A més, els mateixos arxius s'eliminen un cop finalitzats, la qual cosa condueix efectivament a l'esborrat permanent de les dades del dispositiu de la víctima. Segons CERT-UA, RoarBAT s'executa mitjançant una tasca programada que es distribueix centralment als dispositius de domini Windows mitjançant polítiques de grup.
Els pirates informàtics també es dirigeixen als sistemes Linux
Els ciberdelinqüents van utilitzar un script Bash als sistemes Linux, que va utilitzar la utilitat "dd" per substituir el contingut dels tipus de fitxer objectiu per zero bytes, esborrant efectivament les seves dades. La recuperació dels fitxers "buidats" per l'eina dd és poc probable, si no impossible, a causa d'aquesta substitució de dades.
L'ús de programes legítims com l'ordre 'dd' i WinRAR suggereix que els actors de l'amenaça tenien com a objectiu eludir la detecció del programari de seguretat.
Similituds amb atacs anteriors contra objectius ucraïnesos
Segons CERT-UA, el recent atac destructiu dut a terme per Sandworm té semblances sorprenents amb un altre atac que es va produir el gener de 2023 a l'agència de notícies estatal d'Ucraïna, 'Ukrinform', que també es va atribuir al mateix actor d'amenaça. La implementació del pla amenaçador, les adreces IP utilitzades pels atacants i l'ús d'una versió modificada de RoarBAT apunten a la semblança entre els dos ciberatacs.
