RoarBAT kenkėjiška programa
Remiantis nauju Ukrainos vyriausybės kompiuterinių avarijų reagavimo grupės (CERT-UA) paskelbtu patarimu, Rusijos programišių grupė „Sandworm“ įtariama atsakinga už kibernetinę ataką, nukreiptą į Ukrainos valstybinius tinklus. Ataka buvo įvykdyta naudojant pažeistas VPN paskyras, kurios nebuvo apsaugotos kelių veiksnių autentifikavimu, todėl įsilaužėliai galėjo gauti prieigą prie svarbiausių tinklų sistemų.
Kai „Sandworm“ grupė pateko į tikslinius įrenginius, jie panaudojo anksčiau nežinomą grėsmę „RoarBAT“, kad ištrintų duomenis įrenginiuose, kuriuose veikia „Windows“, ir „Bash“ scenarijų „Linux“ operacinėse sistemose. Tai buvo padaryta naudojant WinRar, populiarią archyvavimo programą, kad nuvalytų failus iš paveiktų įrenginių. Ataka padarė didelę žalą Ukrainos vyriausybės IT infrastruktūrai, pabrėždama daugiafaktorinio autentifikavimo svarbą, kaip svarbiausią saugumo priemonę, apsaugančią nuo tokių atakų.
Turinys
RoarBAT naudoja populiarią WinRAR archyvo programą duomenims ištrinti
„Sandworm“ grėsmės veikėjai naudoja GPGB scenarijų, vadinamą „RoarBat“ sistemoje „Windows“. Šis scenarijus nuskaito pažeistų įrenginių diskus ir konkrečius katalogus, ieškodamas daugybės failų tipų, įskaitant doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar. , 7z, mp4, SQL, PHP, rar, 7z atgal, vib, vrb, p7s, sys, dll, exe, bin ir data. Tada bet kuris failas, atitinkantis nustatytus kriterijus, yra archyvuojamas naudojant populiarų ir teisėtą WinRAR archyvavimo įrankį.
Tačiau grėsmės veikėjai, vykdydami WinRAR, naudoja komandų eilutės parinktį „-df“, todėl archyvavimo proceso metu failai automatiškai ištrinami. Be to, pasibaigus archyvui pašalinami patys archyvai, todėl aukos įrenginyje esantys duomenys ištrinami visam laikui. Pagal CERT-UA, RoarBAT vykdomas per suplanuotą užduotį, kuri centralizuotai paskirstoma Windows domeno įrenginiams naudojant grupės politiką.
Įsilaužėliai taip pat taikosi į „Linux“ sistemas
Kibernetiniai nusikaltėliai Linux sistemose naudojo „Bash“ scenarijų, kuris naudojo „dd“ įrankį, kad pakeistų tikslinių failų tipų turinį nuliu baitų ir veiksmingai ištrintų jų duomenis. dd įrankiu „ištuštinti“ failai yra mažai tikėtinas, o gal net neįmanomas dėl šio duomenų pakeitimo.
Teisėtų programų, tokių kaip „dd“ komanda ir „WinRAR“, naudojimas rodo, kad grėsmės veikėjai siekė išvengti apsaugos programinės įrangos aptikimo.
Panašumai su ankstesniais išpuoliais prieš Ukrainos taikinius
Anot CERT-UA, neseniai „Sandworm“ įvykdyta destruktyvi ataka turi ryškių panašumų su kita ataka, 2023 m. sausį įvykdyta prieš Ukrainos valstybinę naujienų agentūrą „Ukrinform“, kuri taip pat buvo priskirta tam pačiam grėsmės veikėjui. Grėsmingo plano įgyvendinimas, užpuolikų naudojami IP adresai ir modifikuotos RoarBAT versijos naudojimas rodo šių dviejų kibernetinių atakų panašumą.
