Κακόβουλο λογισμικό RoarBAT
Σύμφωνα με νέα συμβουλευτική που κυκλοφόρησε από την Ουκρανική Κυβερνητική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT-UA), η ρωσική ομάδα χάκερ «Sandworm» θεωρείται ύποπτη ότι είναι υπεύθυνη για μια κυβερνοεπίθεση που στόχευε ουκρανικά κρατικά δίκτυα. Η επίθεση πραγματοποιήθηκε με την εκμετάλλευση των παραβιασμένων λογαριασμών VPN που δεν ήταν ασφαλισμένοι με έλεγχο ταυτότητας πολλαπλών παραγόντων, επιτρέποντας στους χάκερ να αποκτήσουν πρόσβαση σε κρίσιμα συστήματα εντός των δικτύων.
Μόλις η ομάδα Sandworm απέκτησε είσοδο στις στοχευμένες συσκευές, χρησιμοποίησε την προηγουμένως άγνωστη απειλή RoarBAT για να διαγράψει δεδομένα σε μηχανήματα με Windows και ένα σενάριο Bash σε λειτουργικά συστήματα Linux. Αυτό επιτεύχθηκε χρησιμοποιώντας το WinRar, ένα δημοφιλές πρόγραμμα αρχειοθέτησης, για τη διαγραφή αρχείων από τις επηρεαζόμενες συσκευές. Η επίθεση προκάλεσε σημαντική ζημιά στην υποδομή πληροφορικής της ουκρανικής κυβέρνησης, υπογραμμίζοντας τη σημασία του ελέγχου ταυτότητας πολλαπλών παραγόντων ως κρίσιμο μέτρο ασφαλείας για την προστασία από τέτοιες επιθέσεις.
Πίνακας περιεχομένων
Το RoarBAT εκμεταλλεύεται τη δημοφιλή εφαρμογή αρχείου WinRAR για τη διαγραφή δεδομένων
Οι ηθοποιοί απειλών Sandworm χρησιμοποιούν ένα σενάριο BAT που ονομάζεται "RoarBat" στα Windows. Αυτό το σενάριο σαρώνει τους δίσκους και τους συγκεκριμένους καταλόγους των συσκευών που έχουν παραβιαστεί για πολλούς τύπους αρχείων, όπως doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin και ημερομηνία. Οποιοδήποτε αρχείο ταιριάζει με τα καθορισμένα κριτήρια στη συνέχεια αρχειοθετείται χρησιμοποιώντας το δημοφιλές και νόμιμο εργαλείο αρχειοθέτησης WinRAR.
Ωστόσο, οι φορείς απειλών αξιοποιούν την επιλογή της γραμμής εντολών '-df' κατά την εκτέλεση του WinRAR, με αποτέλεσμα την αυτόματη διαγραφή αρχείων κατά τη διαδικασία αρχειοθέτησης. Επιπλέον, τα ίδια τα αρχεία αφαιρούνται με την ολοκλήρωση, οδηγώντας ουσιαστικά στη μόνιμη διαγραφή των δεδομένων στη συσκευή του θύματος. Σύμφωνα με το CERT-UA, το RoarBAT εκτελείται μέσω μιας προγραμματισμένης εργασίας που διανέμεται κεντρικά στις συσκευές τομέα των Windows μέσω πολιτικών ομάδας.
Οι χάκερ στοχεύουν και συστήματα Linux
Οι κυβερνοεγκληματίες χρησιμοποίησαν ένα σενάριο Bash σε συστήματα Linux, το οποίο χρησιμοποίησε το βοηθητικό πρόγραμμα «dd» για να αντικαταστήσει τα περιεχόμενα των στοχευμένων τύπων αρχείων με μηδέν byte, διαγράφοντας ουσιαστικά τα δεδομένα τους. Η ανάκτηση αρχείων που "άδειασαν" από το εργαλείο dd είναι απίθανη, αν όχι αδύνατη, λόγω αυτής της αντικατάστασης δεδομένων.
Η χρήση νόμιμων προγραμμάτων όπως η εντολή 'dd' και το WinRAR υποδηλώνει ότι οι παράγοντες απειλής στόχευαν να αποφύγουν τον εντοπισμό από το λογισμικό ασφαλείας.
Ομοιότητες με προηγούμενες επιθέσεις εναντίον ουκρανικών στόχων
Σύμφωνα με το CERT-UA, η πρόσφατη καταστροφική επίθεση που πραγματοποιήθηκε από το Sandworm έχει εντυπωσιακές ομοιότητες με μια άλλη επίθεση που σημειώθηκε τον Ιανουάριο του 2023 στο ουκρανικό κρατικό πρακτορείο ειδήσεων «Ukrinform», η οποία επίσης αποδόθηκε στον ίδιο παράγοντα απειλής. Η εφαρμογή του απειλητικού σχεδίου, οι διευθύνσεις IP που χρησιμοποιήθηκαν από τους εισβολείς και η χρήση μιας τροποποιημένης έκδοσης του RoarBAT δείχνουν την ομοιότητα μεταξύ των δύο κυβερνοεπιθέσεων.
