Złośliwe oprogramowanie RoarBAT
Według nowego raportu opublikowanego przez ukraiński rządowy zespół reagowania na incydenty komputerowe (CERT-UA), podejrzewa się, że rosyjska grupa hakerska „Sandworm” jest odpowiedzialna za cyberatak wymierzony w ukraińskie sieci państwowe. Atak został przeprowadzony z wykorzystaniem zainfekowanych kont VPN, które nie były zabezpieczone uwierzytelnianiem wieloskładnikowym, co umożliwiło hakerom uzyskanie dostępu do krytycznych systemów w sieciach.
Gdy grupa Sandworm uzyskała dostęp do docelowych urządzeń, wykorzystała nieznane wcześniej zagrożenie RoarBAT do usunięcia danych na komputerach z systemem Windows oraz skryptu Bash w systemach operacyjnych Linux. Osiągnięto to za pomocą WinRar, popularnego programu do archiwizacji, w celu usunięcia plików z zaatakowanych urządzeń. Atak spowodował znaczne szkody w infrastrukturze IT ukraińskiego rządu, podkreślając znaczenie uwierzytelniania wieloskładnikowego jako krytycznego środka bezpieczeństwa chroniącego przed takimi atakami.
Spis treści
RoarBAT wykorzystuje popularną aplikację WinRAR Archive do usuwania danych
Aktorzy zagrożenia Sandworm wykorzystują skrypt BAT o nazwie „RoarBat” w systemie Windows. Ten skrypt skanuje dyski i określone katalogi naruszonych urządzeń w poszukiwaniu wielu typów plików, w tym doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z wstecz, vib, vrb, p7s, sys, dll, exe, bin i data. Każdy plik spełniający ustalone kryteria jest następnie archiwizowany przy użyciu popularnego i legalnego narzędzia do archiwizacji WinRAR.
Jednak cyberprzestępcy wykorzystują opcję wiersza polecenia „-df” podczas uruchamiania programu WinRAR, co powoduje automatyczne usuwanie plików podczas procesu archiwizacji. Co więcej, same archiwa są usuwane po zakończeniu, co w efekcie prowadzi do trwałego usunięcia danych na urządzeniu ofiary. Według CERT-UA, RoarBAT jest wykonywany poprzez zaplanowane zadanie, które jest centralnie dystrybuowane do urządzeń domeny Windows za pośrednictwem zasad grupy.
Hakerzy atakują również systemy Linux
Cyberprzestępcy wykorzystali skrypt Bash w systemach Linux, który wykorzystywał narzędzie „dd” do zastępowania zawartości docelowych typów plików zerowymi bajtami, skutecznie usuwając ich dane. Odzyskanie plików „opróżnionych” przez narzędzie dd jest mało prawdopodobne, jeśli nie niemożliwe, z powodu tej zamiany danych.
Wykorzystanie legalnych programów, takich jak polecenie „dd” i WinRAR, sugeruje, że cyberprzestępcy starali się uniknąć wykrycia przez oprogramowanie zabezpieczające.
Podobieństwa z poprzednimi atakami na cele ukraińskie
Według CERT-UA niedawny niszczycielski atak przeprowadzony przez Sandworm wykazuje uderzające podobieństwa do innego ataku, który miał miejsce w styczniu 2023 r. Realizacja groźnego planu, adresy IP wykorzystywane przez osoby atakujące oraz użycie zmodyfikowanej wersji RoarBAT wskazują na podobieństwo między tymi dwoma cyberatakami.
