RoarBAT ਮਾਲਵੇਅਰ

ਯੂਕਰੇਨੀ ਸਰਕਾਰ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੀ ਗਈ ਤਾਜ਼ਾ ਸਲਾਹ ਦੇ ਅਨੁਸਾਰ, ਰੂਸੀ ਹੈਕਿੰਗ ਸਮੂਹ 'ਸੈਂਡਵਰਮ' ਇੱਕ ਸਾਈਬਰ ਹਮਲੇ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ ਜਿਸ ਨੇ ਯੂਕਰੇਨ ਦੇ ਰਾਜ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਸੀ। ਇਹ ਹਮਲਾ ਸਮਝੌਤਾ ਕੀਤੇ VPN ਖਾਤਿਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਕੀਤਾ ਗਿਆ ਸੀ ਜੋ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਸਨ, ਜਿਸ ਨਾਲ ਹੈਕਰਾਂ ਨੂੰ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਨਾਜ਼ੁਕ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਗਈ ਸੀ।

ਇੱਕ ਵਾਰ ਸੈਂਡਵਰਮ ਗਰੁੱਪ ਨੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਯੰਤਰਾਂ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਹਾਸਲ ਕਰ ਲਿਆ, ਤਾਂ ਉਹਨਾਂ ਨੇ ਵਿੰਡੋਜ਼ ਚਲਾਉਣ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ ਅਤੇ ਲੀਨਕਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਉੱਤੇ ਇੱਕ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਧਮਕੀ RoarBAT ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਹ ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਉਣ ਲਈ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਪੁਰਾਲੇਖ ਪ੍ਰੋਗਰਾਮ, WinRar ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੂਰਾ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਮਲੇ ਨੇ ਯੂਕਰੇਨ ਸਰਕਾਰ ਦੇ IT ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸਾਨ ਪਹੁੰਚਾਇਆ, ਅਜਿਹੇ ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਉਪਾਅ ਦੇ ਰੂਪ ਵਿੱਚ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਮਹੱਤਵ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ।

RoarBAT ਡੇਟਾ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਪ੍ਰਸਿੱਧ WinRAR ਆਰਕਾਈਵ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

ਸੈਂਡਵਰਮ ਡਰਾਫਟ ਐਕਟਰ ਵਿੰਡੋਜ਼ 'ਤੇ 'ਰੋਰਬੈਟ' ਨਾਮਕ ਇੱਕ BAT ਸਕ੍ਰਿਪਟ ਵਰਤਦੇ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟ ਡਿਸਕਾਂ ਅਤੇ ਕਈ ਫਾਈਲ ਕਿਸਮਾਂ ਲਈ ਤੋੜੀਆਂ ਗਈਆਂ ਡਿਵਾਈਸਾਂ ਦੀਆਂ ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar ਸ਼ਾਮਲ ਹਨ। , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin, ਅਤੇ ਮਿਤੀ। ਕੋਈ ਵੀ ਫਾਈਲ ਜੋ ਨਿਰਧਾਰਤ ਮਾਪਦੰਡਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ, ਫਿਰ ਪ੍ਰਸਿੱਧ ਅਤੇ ਜਾਇਜ਼ WinRAR ਆਰਚੀਵਰ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੁਰਾਲੇਖ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਹਾਲਾਂਕਿ, ਵਿਨਆਰਏਆਰ ਨੂੰ ਚਲਾਉਂਦੇ ਸਮੇਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ '-df' ਕਮਾਂਡ-ਲਾਈਨ ਵਿਕਲਪ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ, ਨਤੀਜੇ ਵਜੋਂ ਪੁਰਾਲੇਖ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਫਾਈਲਾਂ ਨੂੰ ਆਟੋਮੈਟਿਕ ਮਿਟਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੁਰਾਲੇਖ ਆਪਣੇ ਆਪ ਨੂੰ ਪੂਰਾ ਹੋਣ 'ਤੇ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਪੀੜਤ ਦੇ ਡਿਵਾਈਸ 'ਤੇ ਡਾਟਾ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਮਿਟਾਇਆ ਜਾਂਦਾ ਹੈ। CERT-UA ਦੇ ਅਨੁਸਾਰ, RoarBAT ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਜੋ ਕਿ ਕੇਂਦਰੀ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਡੋਮੇਨ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸਮੂਹ ਨੀਤੀਆਂ ਦੁਆਰਾ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ।

ਹੈਕਰ ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਲੀਨਕਸ ਸਿਸਟਮਾਂ 'ਤੇ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਨੇ 'dd' ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਜ਼ੀਰੋ ਬਾਈਟਾਂ ਨਾਲ ਟਾਰਗੇਟਡ ਫਾਈਲ ਕਿਸਮਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਬਦਲਣ ਲਈ ਕੀਤੀ, ਉਹਨਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਮਿਟਾਇਆ। dd ਟੂਲ ਦੁਆਰਾ 'ਖਾਲੀ' ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਦੀ ਰਿਕਵਰੀ ਅਸੰਭਵ ਹੈ, ਜੇਕਰ ਅਸੰਭਵ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਸ ਡੇਟਾ ਬਦਲਣ ਦੇ ਕਾਰਨ।

'dd' ਕਮਾਂਡ ਅਤੇ WinRAR ਵਰਗੇ ਜਾਇਜ਼ ਪ੍ਰੋਗਰਾਮਾਂ ਦੀ ਵਰਤੋਂ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਦਾ ਉਦੇਸ਼ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣਾ ਹੈ।

ਯੂਕਰੇਨੀ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਪਿਛਲੇ ਹਮਲਿਆਂ ਨਾਲ ਸਮਾਨਤਾਵਾਂ

CERT-UA ਦੇ ਅਨੁਸਾਰ, ਸੈਂਡਵਰਮ ਦੁਆਰਾ ਕੀਤਾ ਗਿਆ ਹਾਲ ਹੀ ਵਿੱਚ ਵਿਨਾਸ਼ਕਾਰੀ ਹਮਲਾ ਇੱਕ ਹੋਰ ਹਮਲੇ ਵਰਗਾ ਹੈ ਜੋ ਜਨਵਰੀ 2023 ਵਿੱਚ ਯੂਕਰੇਨ ਦੀ ਰਾਜ ਨਿ newsਜ਼ ਏਜੰਸੀ, 'ਯੂਕਰਿਨਫਾਰਮ' 'ਤੇ ਹੋਇਆ ਸੀ, ਜਿਸਦਾ ਕਾਰਨ ਵੀ ਉਸੇ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਧਮਕੀ ਦੇਣ ਵਾਲੀ ਯੋਜਨਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ IP ਪਤੇ, ਅਤੇ RoarBAT ਦੇ ਸੰਸ਼ੋਧਿਤ ਸੰਸਕਰਣ ਦਾ ਰੁਜ਼ਗਾਰ, ਇਹ ਸਭ ਦੋ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿਚਕਾਰ ਸਮਾਨਤਾ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ।