RoarBAT ļaunprātīga programmatūra
Saskaņā ar Ukrainas valdības Datoravārijas reaģēšanas komandas (CERT-UA) publicētajiem jaunajiem ieteikumiem Krievijas hakeru grupa "Sandworm" tiek turēta aizdomās par kiberuzbrukumu, kas vērsts pret Ukrainas valsts tīkliem. Uzbrukums tika veikts, izmantojot apdraudētus VPN kontus, kas nebija nodrošināti ar daudzfaktoru autentifikāciju, ļaujot hakeriem piekļūt kritiskajām sistēmām tīklos.
Kad Sandworm grupa ieguva piekļuvi mērķa ierīcēm, viņi izmantoja iepriekš nezināmo apdraudējumu RoarBAT, lai dzēstu datus iekārtās, kurās darbojas sistēma Windows, un Bash skriptu Linux operētājsistēmās. Tas tika paveikts, izmantojot WinRar, populāru arhivēšanas programmu, lai izdzēstu failus no ietekmētajām ierīcēm. Uzbrukums nodarīja būtisku kaitējumu Ukrainas valdības IT infrastruktūrai, uzsverot daudzfaktoru autentifikācijas nozīmi kā kritisku drošības līdzekli aizsardzībai pret šādiem uzbrukumiem.
Satura rādītājs
RoarBAT izmanto populāro WinRAR arhīva lietojumprogrammu, lai dzēstu datus
Sandworm apdraudējuma dalībnieki operētājsistēmā Windows izmanto BAT skriptu ar nosaukumu "RoarBat". Šis skripts skenē bojāto ierīču diskos un īpašos direktorijus, meklējot daudzus failu tipus, tostarp doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar. , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin un datums. Jebkurš fails, kas atbilst iestatītajiem kritērijiem, tiek arhivēts, izmantojot populāro un likumīgo WinRAR arhivēšanas rīku.
Tomēr draudu dalībnieki, izpildot WinRAR, izmanto komandrindas opciju “-df”, kā rezultātā faili tiek automātiski dzēsti arhivēšanas procesa laikā. Turklāt paši arhīvi tiek dzēsti pēc pabeigšanas, tādējādi pilnībā izraisot upura ierīces datu neatgriezenisku dzēšanu. Saskaņā ar CERT-UA, RoarBAT tiek izpildīts, izmantojot ieplānotu uzdevumu, kas tiek centralizēti izplatīts Windows domēna ierīcēm, izmantojot grupas politikas.
Hakeri mērķē arī uz Linux sistēmām
Kibernoziedznieki Linux sistēmās izmantoja Bash skriptu, kas izmantoja utilītu “dd”, lai aizstātu mērķfailu tipu saturu ar nulles baitiem, efektīvi dzēšot to datus. Šīs datu aizstāšanas dēļ dd rīka “iztukšoto” failu atkopšana ir maz ticama, ja ne neiespējama.
Leģitīmu programmu, piemēram, komandas 'dd' un WinRAR, izmantošana liecina, ka apdraudējuma dalībnieku mērķis bija izvairīties no drošības programmatūras atklāšanas.
Līdzības ar iepriekšējiem uzbrukumiem Ukrainas mērķiem
Saskaņā ar CERT-UA nesen veiktajam Sandworm destruktīvajam uzbrukumam ir pārsteidzošas līdzības ar citu uzbrukumu, kas 2023. gada janvārī notika Ukrainas valsts ziņu aģentūrai “Ukrinform”, kas arī tika attiecināts uz to pašu draudu dalībnieku. Draudošā plāna īstenošana, uzbrucēju izmantotās IP adreses un modificētas RoarBAT versijas izmantošana norāda uz abu kiberuzbrukumu līdzību.
