रोरबैट मालवेयर

यूक्रेनी सरकार कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-यूए) द्वारा जारी ताजा सलाह के अनुसार, रूसी हैकिंग समूह 'सैंडवॉर्म' को साइबर हमले के लिए जिम्मेदार माना जाता है, जिसने यूक्रेनी राज्य नेटवर्क को लक्षित किया था। हमला समझौता किए गए वीपीएन खातों का शोषण करके किया गया था जो बहु-कारक प्रमाणीकरण से सुरक्षित नहीं थे, जिससे हैकर्स को नेटवर्क के भीतर महत्वपूर्ण सिस्टम तक पहुंच प्राप्त करने की अनुमति मिलती है।

एक बार जब सैंडवॉर्म समूह ने लक्षित उपकरणों में प्रवेश प्राप्त कर लिया, तो उन्होंने विंडोज़ चलाने वाली मशीनों और लिनक्स ऑपरेटिंग सिस्टम पर बैश स्क्रिप्ट पर डेटा को हटाने के लिए पहले अज्ञात खतरे RoarBAT का इस्तेमाल किया। यह प्रभावित उपकरणों से फ़ाइलों को मिटाने के लिए एक लोकप्रिय संग्रह कार्यक्रम WinRar का उपयोग करके पूरा किया गया था। हमले ने यूक्रेनी सरकार के आईटी बुनियादी ढांचे को महत्वपूर्ण नुकसान पहुंचाया, इस तरह के हमलों से बचाव के लिए एक महत्वपूर्ण सुरक्षा उपाय के रूप में बहु-कारक प्रमाणीकरण के महत्व पर प्रकाश डाला।

RoarBAT डेटा को हटाने के लिए लोकप्रिय WinRAR संग्रह एप्लिकेशन का उपयोग करता है

सैंडवॉर्म थ्रेट एक्टर्स विंडोज पर 'रोरबैट' नामक बैट स्क्रिप्ट का इस्तेमाल करते हैं। यह स्क्रिप्ट कई फ़ाइल प्रकारों के लिए डिस्क और उल्लंघन किए गए उपकरणों की विशिष्ट निर्देशिकाओं के माध्यम से स्कैन करती है, जिनमें doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar शामिल हैं। , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin और date। कोई भी फ़ाइल जो निर्धारित मानदंडों से मेल खाती है, तब लोकप्रिय और वैध WinRAR आर्काइव टूल का उपयोग करके संग्रहीत की जाती है।

हालांकि, WinRAR को निष्पादित करते समय खतरा कर्ता '-df' कमांड-लाइन विकल्प का लाभ उठाते हैं, जिसके परिणामस्वरूप संग्रह प्रक्रिया के दौरान फ़ाइलों का स्वत: विलोपन होता है। इसके अलावा, पूरा होने पर अभिलेखों को स्वयं हटा दिया जाता है, प्रभावी रूप से पीड़ित के डिवाइस पर डेटा को स्थायी रूप से मिटा दिया जाता है। CERT-UA के अनुसार, RoarBAT को एक निर्धारित कार्य के माध्यम से निष्पादित किया जाता है जो कि समूह नीतियों के माध्यम से Windows डोमेन उपकरणों को केंद्रीय रूप से वितरित किया जाता है।

हैकर्स लिनक्स सिस्टम को भी निशाना बनाते हैं

साइबर अपराधियों ने लिनक्स सिस्टम पर एक बैश स्क्रिप्ट का इस्तेमाल किया, जो लक्षित फ़ाइल प्रकारों की सामग्री को शून्य बाइट्स के साथ बदलने के लिए 'dd' उपयोगिता का उपयोग करता है, प्रभावी रूप से उनके डेटा को मिटा देता है। इस डेटा प्रतिस्थापन के कारण, dd टूल द्वारा 'खाली' फ़ाइलों की पुनर्प्राप्ति की संभावना नहीं है, यदि असंभव नहीं है।

'dd' कमांड और WinRAR जैसे वैध कार्यक्रमों के उपयोग से पता चलता है कि खतरे के अभिनेताओं का उद्देश्य सुरक्षा सॉफ़्टवेयर द्वारा पता लगाने से बचना है।

यूक्रेनी लक्ष्यों के खिलाफ पिछले हमलों के साथ समानताएं

सीईआरटी-यूए के अनुसार, सैंडवॉर्म द्वारा हाल ही में किया गया विनाशकारी हमला जनवरी 2023 में यूक्रेनी राज्य समाचार एजेंसी, 'यूक्रिनफॉर्म' पर हुए एक अन्य हमले के समान है, जिसे उसी खतरे वाले अभिनेता के लिए भी जिम्मेदार ठहराया गया था। धमकी देने वाली योजना का कार्यान्वयन, हमलावरों द्वारा उपयोग किए जाने वाले आईपी पते, और RoarBAT के संशोधित संस्करण का उपयोग सभी दो साइबर हमलों के बीच समानता की ओर इशारा करते हैं।