RoarBAT-malware
Volgens een nieuw advies van het Computer Emergency Response Team (CERT-UA) van de Oekraïense regering wordt vermoed dat de Russische hackgroep 'Sandworm' verantwoordelijk is voor een cyberaanval op Oekraïense staatsnetwerken. De aanval werd uitgevoerd door misbruik te maken van gecompromitteerde VPN-accounts die niet waren beveiligd met meervoudige authenticatie, waardoor de hackers toegang konden krijgen tot kritieke systemen binnen de netwerken.
Zodra de Sandworm- groep toegang kreeg tot de beoogde apparaten, gebruikten ze de voorheen onbekende dreiging RoarBAT om gegevens te verwijderen op machines met Windows en een Bash-script op Linux-besturingssystemen. Dit werd bereikt door WinRar, een populair archiveringsprogramma, te gebruiken om bestanden van de getroffen apparaten te wissen. De aanval veroorzaakte aanzienlijke schade aan de IT-infrastructuur van de Oekraïense regering, wat het belang van meervoudige authenticatie benadrukt als een kritieke beveiligingsmaatregel ter bescherming tegen dergelijke aanvallen.
Inhoudsopgave
RoarBAT maakt gebruik van de populaire WinRAR-archieftoepassing om gegevens te verwijderen
De Sandworm-dreigingsactoren gebruiken een BAT-script met de naam 'RoarBat' op Windows. Dit script doorzoekt de schijven en specifieke mappen van de geschonden apparaten op tal van bestandstypen, waaronder doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z terug, vib, vrb, p7s, sys, dll, exe, bin en datum. Elk bestand dat aan de gestelde criteria voldoet, wordt vervolgens gearchiveerd met behulp van de populaire en legitieme WinRAR-archiveringstool.
De aanvallers maken echter gebruik van de opdrachtregeloptie '-df' bij het uitvoeren van WinRAR, wat resulteert in het automatisch verwijderen van bestanden tijdens het archiveringsproces. Bovendien worden de archieven zelf na voltooiing verwijderd, wat in feite leidt tot het permanent wissen van de gegevens op het apparaat van het slachtoffer. Volgens CERT-UA wordt RoarBAT uitgevoerd via een geplande taak die centraal wordt gedistribueerd naar Windows-domeinapparaten via groepsbeleid.
Hackers richten zich ook op Linux-systemen
De cybercriminelen gebruikten een Bash-script op Linux-systemen, dat het 'dd'-hulpprogramma gebruikte om de inhoud van de beoogde bestandstypen te vervangen door nul bytes, waardoor hun gegevens effectief werden gewist. Herstel van bestanden die zijn 'leeggemaakt' door de dd-tool is onwaarschijnlijk, zo niet onmogelijk, vanwege deze gegevensvervanging.
Het gebruik van legitieme programma's zoals 'dd'-commando en WinRAR suggereert dat de aanvallers detectie door beveiligingssoftware probeerden te omzeilen.
Overeenkomsten met eerdere aanvallen op Oekraïense doelen
Volgens CERT-UA vertoont de recente destructieve aanval van Sandworm opvallende gelijkenissen met een andere aanval die in januari 2023 plaatsvond op het Oekraïense staatspersbureau 'Ukrinform', die ook aan dezelfde dreigingsactor werd toegeschreven. De implementatie van het dreigingsplan, de IP-adressen die door de aanvallers worden gebruikt en het gebruik van een aangepaste versie van RoarBAT wijzen allemaal op de gelijkenis tussen de twee cyberaanvallen.
