RoarBAT zlonamjerni softver
Prema novom upozorenju koje je objavio ukrajinski vladin tim za odgovor na računalne hitne slučajeve (CERT-UA), ruska hakerska skupina 'Sandworm' odgovorna je za kibernetički napad koji je ciljao ukrajinske državne mreže. Napad je izveden iskorištavanjem kompromitiranih VPN računa koji nisu bili osigurani višefaktorskom autentifikacijom, što je hakerima omogućilo pristup kritičnim sustavima unutar mreža.
Nakon što je grupa Sandworm ušla u ciljane uređaje, upotrijebili su prethodno nepoznatu prijetnju RoarBAT za brisanje podataka na strojevima koji pokreću Windows i Bash skriptu na Linux operativnim sustavima. To je postignuto korištenjem WinRar-a, popularnog programa za arhiviranje, za brisanje datoteka s pogođenih uređaja. Napad je prouzročio značajnu štetu IT infrastrukturi ukrajinske vlade, ističući važnost višefaktorske autentifikacije kao ključne sigurnosne mjere za zaštitu od takvih napada.
Sadržaj
RoarBAT iskorištava popularnu aplikaciju WinRAR Archive za brisanje podataka
Akteri prijetnje Sandworm koriste BAT skriptu pod nazivom 'RoarBat' u sustavu Windows. Ova skripta skenira diskove i specifične direktorije oštećenih uređaja u potrazi za brojnim vrstama datoteka, uključujući doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin i datum. Svaka datoteka koja odgovara postavljenim kriterijima zatim se arhivira pomoću popularnog i legitimnog alata za arhiviranje WinRAR.
Međutim, akteri prijetnje koriste opciju '-df' naredbenog retka kada izvršavaju WinRAR, što rezultira automatskim brisanjem datoteka tijekom procesa arhiviranja. Štoviše, same arhive se uklanjaju po završetku, što zapravo dovodi do trajnog brisanja podataka na žrtvinom uređaju. Prema CERT-UA, RoarBAT se izvršava kroz planirani zadatak koji se centralno distribuira na uređaje Windows domene putem pravila grupe.
Hakeri ciljaju i na Linux sustave
Kibernetički kriminalci koristili su Bash skriptu na Linux sustavima, koja je koristila uslužni program 'dd' za zamjenu sadržaja ciljanih vrsta datoteka s nula bajtova, učinkovito brišući njihove podatke. Oporavak datoteka 'ispražnjenih' alatom dd je malo vjerojatan, ako ne i nemoguć, zbog ove zamjene podataka.
Korištenje legitimnih programa poput naredbe 'dd' i WinRAR sugerira da su akteri prijetnje imali za cilj izbjeći otkrivanje od strane sigurnosnog softvera.
Sličnosti s prethodnim napadima na ukrajinske mete
Prema CERT-UA, nedavni destruktivni napad koji je izveo Sandworm ima zapanjujuće sličnosti s drugim napadom koji se dogodio u siječnju 2023. na ukrajinsku državnu novinsku agenciju, 'Ukrinform', koji je također pripisan istom akteru prijetnje. Provedba prijetećeg plana, IP adrese koje koriste napadači i korištenje modificirane verzije RoarBAT-a ukazuju na sličnost između dva kibernetička napada.
