RoarBAT Malware
Secondo un nuovo avviso rilasciato dal Computer Emergency Response Team (CERT-UA) del governo ucraino, il gruppo di hacker russo "Sandworm" è sospettato di essere responsabile di un attacco informatico che ha preso di mira le reti statali ucraine. L'attacco è stato effettuato sfruttando account VPN compromessi che non erano protetti con l'autenticazione a più fattori, consentendo agli hacker di ottenere l'accesso ai sistemi critici all'interno delle reti.
Una volta che il gruppo Sandworm ha ottenuto l'accesso ai dispositivi presi di mira, ha utilizzato la minaccia precedentemente sconosciuta RoarBAT per eliminare i dati sui computer che eseguono Windows e uno script Bash sui sistemi operativi Linux. Ciò è stato ottenuto utilizzando WinRar, un popolare programma di archiviazione, per cancellare i file dai dispositivi interessati. L'attacco ha causato danni significativi all'infrastruttura IT del governo ucraino, evidenziando l'importanza dell'autenticazione a più fattori come misura di sicurezza fondamentale per la protezione da tali attacchi.
Sommario
RoarBAT sfrutta la popolare applicazione WinRAR Archive per eliminare i dati
Gli attori delle minacce Sandworm utilizzano uno script BAT chiamato "RoarBat" su Windows. Questo script esegue la scansione dei dischi e delle directory specifiche dei dispositivi violati per numerosi tipi di file, inclusi doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin e data. Qualsiasi file che corrisponde ai criteri impostati viene quindi archiviato utilizzando il popolare e legittimo strumento di archiviazione WinRAR.
Tuttavia, gli attori delle minacce sfruttano l'opzione della riga di comando "-df" durante l'esecuzione di WinRAR, con conseguente eliminazione automatica dei file durante il processo di archiviazione. Inoltre, gli archivi stessi vengono rimossi al termine, portando di fatto alla cancellazione permanente dei dati sul dispositivo della vittima. Secondo CERT-UA, RoarBAT viene eseguito tramite un'attività pianificata distribuita centralmente ai dispositivi di dominio Windows tramite criteri di gruppo.
Gli hacker prendono di mira anche i sistemi Linux
I criminali informatici hanno utilizzato uno script Bash sui sistemi Linux, che utilizzava l'utilità "dd" per sostituire il contenuto dei tipi di file presi di mira con zero byte, cancellando efficacemente i loro dati. Il ripristino dei file "svuotati" dallo strumento dd è improbabile, se non impossibile, a causa di questa sostituzione dei dati.
L'uso di programmi legittimi come il comando "dd" e WinRAR suggerisce che gli autori delle minacce mirassero a eludere il rilevamento da parte del software di sicurezza.
Somiglianze con precedenti attacchi contro obiettivi ucraini
Secondo CERT-UA, il recente attacco distruttivo effettuato da Sandworm presenta sorprendenti somiglianze con un altro attacco avvenuto nel gennaio 2023 all'agenzia di stampa statale ucraina "Ukrinform", anch'esso attribuito allo stesso autore di minacce. L'implementazione del piano minaccioso, gli indirizzi IP utilizzati dagli aggressori e l'utilizzo di una versione modificata di RoarBAT indicano tutti una somiglianza tra i due attacchi informatici.
