RoarBAT pahavara
Ukraina valitsuse arvutihädaabirühma (CERT-UA) avaldatud värske nõuande kohaselt kahtlustatakse, et Venemaa häkkimisrühmitus "Sandworm" on vastutav küberrünnaku eest, mis oli suunatud Ukraina riigivõrkudele. Rünnak viidi läbi, kasutades ära ohustatud VPN-i kontosid, mis ei olnud mitmefaktorilise autentimisega kaitstud, võimaldades häkkeritel pääseda ligi kriitilistele võrkude süsteemidele.
Kui rühm Sandworm jõudis sihitud seadmetesse, kasutasid nad varem tundmatut ohtu RoarBAT, et kustutada andmed Windowsi kasutavates masinates ja Bashi skripti Linuxi operatsioonisüsteemides. See saavutati populaarse arhiveerimisprogrammi WinRari abil failide kustutamiseks mõjutatud seadmetest. Rünnak põhjustas märkimisväärset kahju Ukraina valitsuse IT-infrastruktuurile, rõhutades mitmefaktorilise autentimise kui kriitilise turvameetme olulisust selliste rünnakute eest kaitsmisel.
Sisukord
RoarBAT kasutab andmete kustutamiseks populaarset WinRAR-i arhiivirakendust
Sandwommi ohus osalejad kasutavad Windowsis BAT-skripti nimega RoarBat. See skript otsib läbi rikutud seadmete kettad ja konkreetsed kataloogid paljude failitüüpide leidmiseks, sealhulgas doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z tagasi, vib, vrb, p7s, sys, dll, exe, bin ja kuupäev. Kõik failid, mis vastavad seatud kriteeriumidele, arhiveeritakse seejärel populaarse ja legitiimse WinRAR-i arhiveerimistööriista abil.
Ohutegurid aga kasutavad WinRAR-i käivitamisel käsurea suvandit "-df", mille tulemuseks on failide automaatne kustutamine arhiveerimisprotsessi ajal. Peale selle eemaldatakse arhiivid ise pärast valmimist, mis viib ohvri seadme andmete lõpliku kustutamiseni. CERT-UA kohaselt käivitatakse RoarBAT ajastatud ülesande kaudu, mis jaotatakse tsentraalselt Windowsi domeeniseadmetele rühmapoliitika kaudu.
Häkkerid sihivad ka Linuxi süsteeme
Küberkurjategijad kasutasid Linuxi süsteemides Bashi skripti, mis kasutas utiliiti "dd", et asendada sihitud failitüüpide sisu nullbaitidega, kustutades tõhusalt nende andmed. dd-tööriistaga "tühjendatud" failide taastamine on selle andmete asendamise tõttu ebatõenäoline, kui mitte võimatu.
Seaduslike programmide, nagu käsk 'dd' ja WinRAR, kasutamine viitab sellele, et ohus osalejad püüdsid turvatarkvara tuvastamisest kõrvale hiilida.
Sarnasused varasemate rünnakutega Ukraina sihtmärkide vastu
CERT-UA andmetel on Sandwormi hiljutine hävitav rünnak silmatorkavalt sarnane teise rünnakuga, mis toimus 2023. aasta jaanuaris Ukraina riiklikule uudisteagentuurile Ukrinform ja mida samuti omistati samale ohus osalejale. Ähvardusplaani rakendamine, ründajate kasutatavad IP-aadressid ja RoarBATi muudetud versiooni kasutamine viitavad kahe küberrünnaku sarnasusele.
