RoarBAT Malware
Ifølge en ny meddelelse udgivet af den ukrainske regerings computerberedskabsteam (CERT-UA) er den russiske hackergruppe 'Sandworm' mistænkt for at være ansvarlig for et cyberangreb, der var rettet mod ukrainske statsnetværk. Angrebet blev udført ved at udnytte kompromitterede VPN-konti, der ikke var sikret med multi-faktor-autentificering, hvilket gjorde det muligt for hackerne at få adgang til kritiske systemer i netværkene.
Da Sandworm- gruppen fik adgang til de målrettede enheder, brugte de den hidtil ukendte trussel RoarBAT til at slette data på maskiner, der kører Windows og et Bash-script på Linux-operativsystemer. Dette blev opnået ved at bruge WinRar, et populært arkiveringsprogram, til at slette filer fra de berørte enheder. Angrebet forårsagede betydelig skade på den ukrainske regerings it-infrastruktur, hvilket understreger vigtigheden af multi-faktor autentificering som en kritisk sikkerhedsforanstaltning til at beskytte mod sådanne angreb.
Indholdsfortegnelse
RoarBAT udnytter den populære WinRAR-arkivapplikation til at slette data
Sandworm-truslens aktører anvender et BAT-script kaldet 'RoarBat' på Windows. Dette script scanner gennem diske og specifikke mapper på de brudte enheder for adskillige filtyper, herunder doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin og date. Enhver fil, der matcher de fastsatte kriterier, arkiveres derefter ved hjælp af det populære og legitime WinRAR-arkiveringsværktøj.
Trusselsaktørerne udnytter dog kommandolinjeindstillingen '-df', når de udfører WinRAR, hvilket resulterer i automatisk sletning af filer under arkiveringsprocessen. Desuden fjernes selve arkiverne efter færdiggørelsen, hvilket reelt fører til permanent sletning af data på ofrets enhed. Ifølge CERT-UA udføres RoarBAT gennem en planlagt opgave, der distribueres centralt til Windows-domæneenheder via gruppepolitikker.
Hackere målretter også mod Linux-systemer
De cyberkriminelle brugte et Bash-script på Linux-systemer, som brugte 'dd'-værktøjet til at erstatte indholdet af de målrettede filtyper med nul bytes, hvilket effektivt slettede deres data. Gendannelse af filer 'tømt' af dd-værktøjet er usandsynligt, hvis ikke umuligt, på grund af denne dataerstatning.
Brugen af legitime programmer som 'dd'-kommando og WinRAR antyder, at trusselsaktørerne havde til formål at undgå opdagelse af sikkerhedssoftware.
Ligheder med tidligere angreb mod ukrainske mål
Ifølge CERT-UA har det nylige destruktive angreb udført af Sandworm slående ligheder med et andet angreb, der fandt sted i januar 2023 på det ukrainske statslige nyhedsbureau, 'Ukrinform', som også blev tilskrevet den samme trusselsaktør. Implementeringen af den truende plan, IP-adresserne brugt af angriberne og anvendelsen af en modificeret version af RoarBAT peger alle på ligheden mellem de to cyberangreb.
