RoarBAT rosszindulatú program
Az ukrán kormány Computer Emergency Response Team (CERT-UA) friss tanácsa szerint az orosz "Sandworm" hackercsoport felelős egy ukrán állami hálózatokat célzó kibertámadásért. A támadást olyan feltört VPN-fiókok kihasználásával hajtották végre, amelyek nem voltak többtényezős hitelesítéssel védettek, így a hackerek hozzáfértek a hálózaton belüli kritikus rendszerekhez.
Miután a Sandworm csoport bejutott a megcélzott eszközökbe, a korábban ismeretlen RoarBAT fenyegetést használva törölték a Windows operációs rendszert futtató gépeken az adatokat és a Linux operációs rendszereken egy Bash szkriptet. Ez a WinRar, egy népszerű archiváló program segítségével valósult meg, hogy törölje a fájlokat az érintett eszközökről. A támadás jelentős károkat okozott az ukrán kormány informatikai infrastruktúrájában, rávilágítva a többtényezős hitelesítés fontosságára, mint az ilyen támadások elleni védelem kritikus biztonsági intézkedésére.
Tartalomjegyzék
A RoarBAT a népszerű WinRAR archívum alkalmazást használja ki az adatok törlésére
A Sandworm fenyegetés szereplői a „RoarBat” nevű BAT-szkriptet alkalmazzák a Windows rendszeren. Ez a szkript számos fájltípust keres a feltört eszközök lemezein és adott könyvtárain, beleértve a doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar fájlokat. , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin és dátum. A beállított feltételeknek megfelelő fájlokat a rendszer a népszerű és legitim WinRAR archiváló eszközzel archiválja.
A fenyegetés szereplői azonban kihasználják a „-df” parancssori opciót a WinRAR futtatásakor, ami a fájlok automatikus törlését eredményezi az archiválási folyamat során. Ezenkívül az archívumot is eltávolítják a befejezés után, ami gyakorlatilag az áldozat eszközén lévő adatok végleges törléséhez vezet. A CERT-UA szerint a RoarBAT végrehajtása ütemezett feladaton keresztül történik, amelyet központilag elosztanak a Windows tartományi eszközökhöz csoportházirendeken keresztül.
A hackerek a Linux rendszereket is megcélozzák
A kiberbűnözők egy Bash szkriptet használtak Linux rendszereken, amely a „dd” segédprogramot használta arra, hogy a megcélzott fájltípusok tartalmát nulla bájtokra cserélje, hatékonyan törölve az adatokat. A dd eszköz által „kiürített” fájlok helyreállítása az adatcsere miatt nem valószínű, ha nem lehetetlen.
A törvényes programok, például a „dd” parancs és a WinRAR használata azt sugallja, hogy a fenyegetés szereplőinek célja a biztonsági szoftver általi észlelés elkerülése volt.
Hasonlóságok az ukrán célpontok elleni korábbi támadásokkal
A CERT-UA szerint a Sandworm által a közelmúltban végrehajtott pusztító támadás feltűnő hasonlóságot mutat egy másik, 2023 januárjában az ukrán állami hírügynökség, az „Ukrinform” elleni támadással, amelyet szintén ugyanannak a fenyegető szereplőnek tulajdonítottak. A fenyegetőzési terv végrehajtása, a támadók által használt IP-címek és a RoarBAT módosított verziójának alkalmazása mind a két kibertámadás közötti hasonlóságra utalnak.
