Malware RoarBAT
Potrivit noului aviz emis de Echipa de răspuns în caz de urgență informatică a guvernului ucrainean (CERT-UA), grupul rus de hacking „Sandworm” este suspectat a fi responsabil pentru un atac cibernetic care a vizat rețelele de stat ucrainene. Atacul a fost efectuat prin exploatarea conturilor VPN compromise care nu erau securizate cu autentificare multifactor, permițând hackerilor să obțină acces la sistemele critice din rețele.
Odată ce grupul Sandworm a obținut intrarea pe dispozitivele vizate, a folosit amenințarea necunoscută anterior RoarBAT pentru a șterge datele de pe mașinile care rulează Windows și un script Bash pe sistemele de operare Linux. Acest lucru a fost realizat prin utilizarea WinRar, un program de arhivare popular, pentru a șterge fișierele de pe dispozitivele afectate. Atacul a cauzat daune semnificative infrastructurii IT a guvernului ucrainean, evidențiind importanța autentificării cu mai mulți factori ca măsură de securitate critică pentru a proteja împotriva unor astfel de atacuri.
Cuprins
RoarBAT exploatează populara aplicație WinRAR Archive pentru a șterge datele
Actorii amenințării Sandworm folosesc un script BAT numit „RoarBat” pe Windows. Acest script scanează prin discurile și directoarele specifice ale dispozitivelor încălcate pentru numeroase tipuri de fișiere, inclusiv doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z înapoi, vib, vrb, p7s, sys, dll, exe, bin și data. Orice fișier care corespunde criteriilor stabilite este apoi arhivat utilizând popularul și legitimul instrument de arhivare WinRAR.
Cu toate acestea, actorii amenințărilor folosesc opțiunea de linie de comandă „-df” atunci când execută WinRAR, ducând la ștergerea automată a fișierelor în timpul procesului de arhivare. Mai mult, arhivele în sine sunt eliminate la finalizare, ducând efectiv la ștergerea definitivă a datelor de pe dispozitivul victimei. Potrivit CERT-UA, RoarBAT este executat printr-o sarcină programată care este distribuită central pe dispozitivele de domeniu Windows prin politici de grup.
Hackerii vizează și sistemele Linux
Infractorii cibernetici au folosit un script Bash pe sistemele Linux, care a folosit utilitarul „dd” pentru a înlocui conținutul tipurilor de fișiere vizate cu zero octeți, ștergându-le efectiv datele. Recuperarea fișierelor „golite” de instrumentul dd este puțin probabilă, dacă nu imposibilă, din cauza acestei înlocuiri de date.
Utilizarea de programe legitime, cum ar fi comanda „dd” și WinRAR sugerează că actorii amenințărilor au urmărit să evite detectarea de către software-ul de securitate.
Asemănări cu atacurile anterioare împotriva țintelor ucrainene
Potrivit CERT-UA, recentul atac distructiv efectuat de Sandworm are asemănări izbitoare cu un alt atac care a avut loc în ianuarie 2023 asupra agenției de știri de stat ucrainene, „Ukrinform”, care a fost, de asemenea, atribuit aceluiași actor de amenințare. Implementarea planului de amenințare, adresele IP utilizate de atacatori și utilizarea unei versiuni modificate a RoarBAT indică toate asemănarea dintre cele două atacuri cibernetice.
