תוכנות זדוניות של RoarBAT
על פי ייעוץ חדש שפורסם על ידי צוות תגובת המחשבים החירום של ממשלת אוקראינה (CERT-UA), קבוצת הפריצה הרוסית 'תולעי חול' חשודה כאחראית למתקפת סייבר שכיוונה רשתות מדינה אוקראיניות. המתקפה בוצעה על ידי ניצול חשבונות VPN שנפגעו שלא היו מאובטחים באימות רב-גורמי, מה שמאפשר להאקרים לקבל גישה למערכות קריטיות בתוך הרשתות.
לאחר שקבוצת תולעי החול זכתה לכניסה למכשירים הממוקדים, הם השתמשו באיום הלא ידוע RoarBAT כדי למחוק נתונים על מכונות המרצות Windows וסקריפט Bash במערכות הפעלה לינוקס. זה הושג באמצעות WinRar, תוכנית ארכיון פופולרית, כדי למחוק קבצים מהמכשירים המושפעים. המתקפה גרמה נזק משמעותי לתשתית ה-IT של ממשלת אוקראינה, והדגישה את החשיבות של אימות רב-גורמי כאמצעי אבטחה קריטי להגנה מפני התקפות כאלה.
תוכן העניינים
RoarBAT מנצלת את אפליקציית WinRAR Archive הפופולרית כדי למחוק נתונים
שחקני האיום של תולעי החול משתמשים בסקריפט BAT בשם 'RoarBat' ב-Windows. סקריפט זה סורק את הדיסקים והספריות הספציפיות של ההתקנים הפורצים עבור סוגי קבצים רבים, כולל doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, and date. כל קובץ שתואם את הקריטריונים שנקבעו עובר לארכיון תוך שימוש בכלי הארכיון הפופולרי והלגיטימי של WinRAR.
עם זאת, גורמי האיום ממנפים את אפשרות שורת הפקודה '-df' בעת ביצוע WinRAR, וכתוצאה מכך מחיקה אוטומטית של קבצים במהלך תהליך הארכיון. יתרה מכך, הארכיונים עצמם מוסרים עם השלמתם, מה שמוביל למעשה למחיקה לצמיתות של הנתונים במכשירו של הקורבן. לפי CERT-UA, RoarBAT מבוצע באמצעות משימה מתוזמנת המופצת באופן מרכזי למכשירי תחום Windows באמצעות מדיניות קבוצתית.
האקרים מכוונים גם למערכות לינוקס
פושעי הסייבר השתמשו בסקריפט Bash במערכות לינוקס, שהשתמשו בכלי השירות 'dd' כדי להחליף את התוכן של סוגי הקבצים הממוקדים באפס בתים, ולמעשה מחקו את הנתונים שלהם. שחזור של קבצים 'מרוקנים' על ידי הכלי dd אינו סביר, אם לא בלתי אפשרי, עקב החלפת נתונים זו.
השימוש בתוכנות לגיטימיות כמו הפקודה 'dd' ו-WinRAR מצביע על כך שגורמי האיום נועדו להתחמק מזיהוי על ידי תוכנת אבטחה.
קווי דמיון עם התקפות קודמות נגד מטרות אוקראיניות
לפי CERT-UA, למתקפה ההרסנית האחרונה שבוצעה על ידי תולעי חול יש קווי דמיון בולטים למתקפה אחרת שהתרחשה בינואר 2023 על סוכנות הידיעות הממלכתית האוקראינית, 'Ukrinform', אשר יוחסה אף היא לאותו שחקן איום. יישום התוכנית המאיימת, כתובות ה-IP בהן השתמשו התוקפים והשימוש בגרסה מתוקנת של RoarBAT, כולם מצביעים על הדמיון בין שתי מתקפות הסייבר.
