RoarBAT-haittaohjelma
Ukrainan hallituksen Computer Emergency Response Teamin (CERT-UA) julkaiseman tuoreen neuvon mukaan venäläisen hakkerointiryhmän "Sandworm" epäillään olevan vastuussa Ukrainan valtion verkkoihin kohdistuneesta kyberhyökkäyksestä. Hyökkäys toteutettiin hyödyntämällä vaarantuneita VPN-tilejä, joita ei ollut suojattu monitekijätodennuksella, jolloin hakkerit pääsivät verkkojen kriittisiin järjestelmiin.
Kun Sandworm- ryhmä pääsi kohteena oleviin laitteisiin, he käyttivät aiemmin tuntematonta uhkaa RoarBAT poistaakseen tietoja Windows-koneista ja Bash-skriptiä Linux-käyttöjärjestelmistä. Tämä saavutettiin käyttämällä WinRaria, suosittua arkistointiohjelmaa tiedostojen pyyhkimiseen laitteilta, joita asia koskee. Hyökkäys aiheutti merkittäviä vahinkoja Ukrainan hallituksen IT-infrastruktuurille ja korosti monitekijätodennuksen tärkeyttä kriittisenä turvatoimenpiteenä suojattaessa tällaisia hyökkäyksiä vastaan.
Sisällysluettelo
RoarBAT hyödyntää suosittua WinRAR-arkistosovellusta tietojen poistamiseen
Sandworm-uhkatoimijat käyttävät BAT-skriptiä nimeltä "RoarBat" Windowsissa. Tämä skripti etsii rikottujen laitteiden levyjen ja hakemistojen läpi useita tiedostotyyppejä, mukaan lukien doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin ja päivämäärä. Kaikki tiedostot, jotka vastaavat asetettuja ehtoja, arkistoidaan sitten käyttämällä suosittua ja laillista WinRAR-arkistointityökalua.
Uhkatoimijat kuitenkin hyödyntävät komentorivivaihtoehtoa "-df" suorittaessaan WinRAR:ia, mikä johtaa tiedostojen automaattiseen poistamiseen arkistointiprosessin aikana. Lisäksi itse arkistot poistetaan valmistuttuaan, mikä käytännössä johtaa tietojen pysyvään poistamiseen uhrin laitteelta. CERT-UA:n mukaan RoarBAT suoritetaan ajoitetun tehtävän kautta, joka jaetaan keskitetysti Windows-toimialueen laitteisiin ryhmäkäytäntöjen kautta.
Hakkerit kohdistuvat myös Linux-järjestelmiin
Verkkorikolliset käyttivät Linux-järjestelmissä Bash-komentosarjaa, joka käytti dd-apuohjelmaa korvaamaan kohdetiedostotyyppien sisällön nolla tavulla, mikä tehokkaasti pyyhkii heidän tiedot. dd-työkalun "tyhjentämien" tiedostojen palauttaminen on epätodennäköistä, ellei mahdotonta, tämän tietojen korvaamisen vuoksi.
Laillisten ohjelmien, kuten dd-komennon ja WinRAR:n käyttö viittaa siihen, että uhkatoimijat pyrkivät välttämään tietoturvaohjelmiston havaitsemisen.
Yhtäläisyyksiä aiempien hyökkäysten kanssa ukrainalaisia kohteita vastaan
CERT-UA:n mukaan Sandwormin äskettäinen tuhoisa hyökkäys on silmiinpistävästi samankaltainen kuin tammikuussa 2023 Ukrainan valtion uutistoimistoa "Ukrinform" vastaan tehty hyökkäys, jonka syyksi katsottiin myös sama uhkatekijä. Uhkailusuunnitelman toteuttaminen, hyökkääjien käyttämät IP-osoitteet ja RoarBAT:n muunnellun version käyttö viittaavat näiden kahden kyberhyökkäyksen samankaltaisuuteen.
