Malware RoarBAT
Podle čerstvého varování vydaného ukrajinským vládním týmem pro počítačovou nouzovou reakci (CERT-UA) je ruská hackerská skupina 'Sandworm' podezřelá, že je zodpovědná za kybernetický útok, který se zaměřil na ukrajinské státní sítě. Útok byl proveden zneužitím kompromitovaných účtů VPN, které nebyly zabezpečeny vícefaktorovou autentizací, což hackerům umožnilo získat přístup ke kritickým systémům v rámci sítí.
Jakmile skupina Sandworm získala přístup k cílovým zařízením, použila dříve neznámou hrozbu RoarBAT k odstranění dat na počítačích se systémem Windows a skriptu Bash na operačních systémech Linux. Toho bylo dosaženo pomocí WinRar, oblíbeného archivačního programu, k vymazání souborů z postižených zařízení. Útok způsobil značné škody na IT infrastruktuře ukrajinské vlády a zdůraznil důležitost vícefaktorové autentizace jako kritického bezpečnostního opatření k ochraně proti takovým útokům.
Obsah
RoarBAT využívá populární archivační aplikaci WinRAR k odstranění dat
Herci hrozeb Sandworm používají BAT skript s názvem 'RoarBat' na Windows. Tento skript prohledává disky a konkrétní adresáře napadených zařízení a hledá řadu typů souborů, včetně doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z zpět, vib, vrb, p7s, sys, dll, exe, bin a datum. Jakýkoli soubor, který odpovídá nastaveným kritériím, je poté archivován pomocí oblíbeného a legitimního archivačního nástroje WinRAR.
Aktéři hrozeb však při spouštění WinRAR využívají možnost příkazového řádku '-df', což má za následek automatické mazání souborů během procesu archivace. Kromě toho jsou po dokončení odstraněny samotné archivy, což v podstatě vede k trvalému vymazání dat na zařízení oběti. Podle CERT-UA se RoarBAT spouští prostřednictvím naplánované úlohy, která je centrálně distribuována do zařízení domény Windows prostřednictvím zásad skupiny.
Hackeři se zaměřují i na systémy Linux
Kyberzločinci použili na systémech Linux skript Bash, který využíval utilitu 'dd' k nahrazení obsahu cílových typů souborů nulovými bajty, čímž účinně vymazal jejich data. Obnova souborů „vyprázdněných“ nástrojem dd je nepravděpodobná, ne-li nemožná, kvůli této výměně dat.
Použití legitimních programů jako 'dd' command a WinRAR naznačuje, že aktéři hrozeb se snažili vyhnout detekci bezpečnostním softwarem.
Podobnosti s předchozími útoky proti ukrajinským cílům
Podle CERT-UA se nedávný destruktivní útok, který provedl Sandworm, nápadně podobá jinému útoku, ke kterému došlo v lednu 2023 na ukrajinskou státní tiskovou agenturu „Ukrinform“, který byl rovněž připisován stejnému aktérovi hrozby. Implementace hrozivého plánu, IP adresy používané útočníky a použití upravené verze RoarBAT, to vše ukazuje na podobnost mezi těmito dvěma kybernetickými útoky.
