RoarBAT skadelig programvare
I følge ferske råd utgitt av den ukrainske regjeringens databeredskapsteam (CERT-UA), mistenkes den russiske hackergruppen 'Sandworm' for å være ansvarlig for et cyberangrep som var rettet mot ukrainske statlige nettverk. Angrepet ble utført ved å utnytte kompromitterte VPN-kontoer som ikke var sikret med multifaktorautentisering, slik at hackerne fikk tilgang til kritiske systemer i nettverkene.
Når Sandworm- gruppen fikk tilgang til de målrettede enhetene, brukte de den tidligere ukjente trusselen RoarBAT for å slette data på maskiner som kjører Windows og et Bash-skript på Linux-operativsystemer. Dette ble oppnådd ved å bruke WinRar, et populært arkiveringsprogram, for å tørke filer fra de berørte enhetene. Angrepet forårsaket betydelig skade på den ukrainske regjeringens IT-infrastruktur, og fremhever viktigheten av multifaktorautentisering som et kritisk sikkerhetstiltak for å beskytte mot slike angrep.
Innholdsfortegnelse
RoarBAT utnytter den populære WinRAR-arkivapplikasjonen for å slette data
Sandworm-trusselaktørene bruker et BAT-skript kalt 'RoarBat' på Windows. Dette skriptet skanner gjennom diskene og spesifikke kataloger for de brutte enhetene for en rekke filtyper, inkludert doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin og date. Enhver fil som samsvarer med de angitte kriteriene blir deretter arkivert ved å bruke det populære og legitime WinRAR-arkiveringsverktøyet.
Trusselaktørene utnytter imidlertid kommandolinjealternativet '-df' når de kjører WinRAR, noe som resulterer i automatisk sletting av filer under arkiveringsprosessen. Dessuten blir selve arkivene fjernet ved ferdigstillelse, noe som effektivt fører til permanent sletting av dataene på offerets enhet. I følge CERT-UA utføres RoarBAT gjennom en planlagt oppgave som distribueres sentralt til Windows-domeneenheter via gruppepolicyer.
Hackere retter seg også mot Linux-systemer
Nettkriminelle brukte et Bash-skript på Linux-systemer, som brukte 'dd'-verktøyet for å erstatte innholdet i de målrettede filtypene med null byte, og effektivt slette dataene deres. Gjenoppretting av filer "tømt" av dd-verktøyet er usannsynlig, om ikke umulig, på grunn av denne dataerstatningen.
Bruken av legitime programmer som 'dd'-kommandoen og WinRAR antyder at trusselaktørene hadde som mål å unngå oppdagelse av sikkerhetsprogramvare.
Likheter med tidligere angrep mot ukrainske mål
I følge CERT-UA har det nylige destruktive angrepet utført av Sandworm slående likheter med et annet angrep som skjedde i januar 2023 på det ukrainske statlige nyhetsbyrået "Ukrinform", som også ble tilskrevet den samme trusselaktøren. Implementeringen av den truende planen, IP-adressene brukt av angriperne og bruken av en modifisert versjon av RoarBAT peker alle mot likheten mellom de to nettangrepene.
