មេរោគ RoarBAT
យោងតាមការណែនាំថ្មីដែលចេញផ្សាយដោយក្រុមឆ្លើយតបបន្ទាន់ផ្នែកកុំព្យូទ័ររបស់រដ្ឋាភិបាលអ៊ុយក្រែន (CERT-UA) ក្រុម hacking របស់រុស្សី 'Sandworm' ត្រូវបានគេសង្ស័យថាជាអ្នកទទួលខុសត្រូវចំពោះការវាយប្រហារតាមអ៊ីនធឺណិតដែលបានកំណត់គោលដៅបណ្តាញរដ្ឋអ៊ុយក្រែន។ ការវាយប្រហារនេះត្រូវបានអនុវត្តដោយការកេងប្រវ័ញ្ចគណនី VPN ដែលត្រូវបានសម្របសម្រួលដែលមិនត្រូវបានធានាសុវត្ថិភាពជាមួយនឹងការផ្ទៀងផ្ទាត់ពហុកត្តា ដែលអនុញ្ញាតឱ្យពួក Hacker ទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធសំខាន់ៗនៅក្នុងបណ្តាញនានា។
នៅពេលដែលក្រុម Sandworm ទទួលបានចូលទៅកាន់ឧបករណ៍គោលដៅ ពួកគេបានប្រើការគំរាមកំហែងដែលមិនស្គាល់ពីមុនមក RoarBAT ដើម្បីលុបទិន្នន័យនៅលើម៉ាស៊ីនដែលដំណើរការ Windows និង Bash script នៅលើប្រព័ន្ធប្រតិបត្តិការលីនុច។ នេះត្រូវបានសម្រេចដោយប្រើ WinRar ដែលជាកម្មវិធីរក្សាទុកឯកសារដ៏ពេញនិយម ដើម្បីលុបឯកសារចេញពីឧបករណ៍ដែលរងផលប៉ះពាល់។ ការវាយប្រហារនេះបានបណ្តាលឱ្យមានការខូចខាតយ៉ាងសំខាន់ដល់ហេដ្ឋារចនាសម្ព័ន្ធ IT របស់រដ្ឋាភិបាលអ៊ុយក្រែន ដោយបង្ហាញពីសារៈសំខាន់នៃការផ្ទៀងផ្ទាត់ពហុកត្តាជាវិធានការសុវត្ថិភាពដ៏សំខាន់ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារបែបនេះ។
តារាងមាតិកា
RoarBAT ទាញយកកម្មវិធី WinRAR ដ៏ពេញនិយមដើម្បីលុបទិន្នន័យ
តួអង្គគំរាមកំហែង Sandworm ប្រើស្គ្រីប BAT ដែលហៅថា 'RoarBat' នៅលើ Windows ។ ស្គ្រីបនេះស្កេនតាមថាស និងថតជាក់លាក់នៃឧបករណ៍ដែលបំពានសម្រាប់ប្រភេទឯកសារជាច្រើន រួមមាន doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin និងកាលបរិច្ឆេទ។ ឯកសារណាមួយដែលត្រូវនឹងលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់បន្ទាប់មកត្រូវបានរក្សាទុកដោយប្រើឧបករណ៍ផ្ទុកឯកសារ WinRAR ដ៏ពេញនិយម និងស្របច្បាប់។
ទោះជាយ៉ាងណាក៏ដោយ តួអង្គគំរាមកំហែងប្រើជម្រើសបន្ទាត់ពាក្យបញ្ជា '-df' នៅពេលដំណើរការ WinRAR ដែលបណ្តាលឱ្យមានការលុបឯកសារដោយស្វ័យប្រវត្តិអំឡុងពេលដំណើរការរក្សាទុក។ លើសពីនេះ បណ្ណសារខ្លួនឯងត្រូវបានដកចេញនៅពេលបញ្ចប់ ដែលនាំឱ្យមានការលុបជាអចិន្ត្រៃយ៍នៃទិន្នន័យនៅលើឧបករណ៍របស់ជនរងគ្រោះ។ យោងតាម CERT-UA RoarBAT ត្រូវបានប្រតិបត្តិតាមរយៈកិច្ចការដែលបានកំណត់ពេលដែលត្រូវបានចែកចាយកណ្តាលទៅកាន់ឧបករណ៍ដែន Windows តាមរយៈគោលការណ៍ក្រុម។
ពួក Hacker កំណត់គោលដៅប្រព័ន្ធលីនុចផងដែរ។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានប្រើស្គ្រីប Bash នៅលើប្រព័ន្ធលីនុច ដែលប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ 'dd' ដើម្បីជំនួសមាតិកានៃប្រភេទឯកសារគោលដៅដោយសូន្យបៃ ដោយលុបបំបាត់ទិន្នន័យរបស់ពួកគេយ៉ាងមានប្រសិទ្ធភាព។ ការងើបឡើងវិញនៃឯកសារ 'ទទេ' ដោយឧបករណ៍ dd ទំនងជាមិនអាចទៅរួចនោះទេ ដោយសារតែការជំនួសទិន្នន័យនេះ។
ការប្រើប្រាស់កម្មវិធីស្របច្បាប់ដូចជាពាក្យបញ្ជា 'dd' និង WinRAR បង្ហាញថាអ្នកគំរាមកំហែងមានគោលបំណងគេចពីការរកឃើញដោយកម្មវិធីសុវត្ថិភាព។
ភាពស្រដៀងគ្នាជាមួយនឹងការវាយប្រហារពីមុនប្រឆាំងនឹងគោលដៅអ៊ុយក្រែន
យោងតាម CERT-UA ការវាយប្រហារបំផ្លិចបំផ្លាញនាពេលថ្មីៗនេះដែលធ្វើឡើងដោយសត្វខ្លាឃ្មុំ Sandworm មានភាពស្រដៀងគ្នាទៅនឹងការវាយប្រហារមួយផ្សេងទៀតដែលបានកើតឡើងក្នុងខែមករាឆ្នាំ 2023 លើទីភ្នាក់ងារព័ត៌មានរដ្ឋអ៊ុយក្រែន 'Ukrinform' ដែលត្រូវបានសន្មតថាជាអ្នកគំរាមកំហែងដូចគ្នានេះ។ ការអនុវត្តផែនការគំរាមកំហែង អាសយដ្ឋាន IP ដែលត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារ និងការងារនៃកំណែដែលបានកែប្រែរបស់ RoarBAT ទាំងអស់ចង្អុលទៅរកភាពស្រដៀងគ្នារវាងការវាយប្រហារតាមអ៊ីនធឺណិតទាំងពីរ។
