Вредоносное ПО RoarBAT
Согласно свежему информационному бюллетеню, опубликованному Командой реагирования на компьютерные чрезвычайные ситуации правительства Украины (CERT-UA), российская хакерская группа Sandworm подозревается в причастности к кибератаке, направленной против украинских государственных сетей. Атака была осуществлена путем использования скомпрометированных учетных записей VPN, которые не были защищены многофакторной аутентификацией, что позволило хакерам получить доступ к критически важным системам в сетях.
Как только группа Sandworm получила доступ к целевым устройствам, они использовали ранее неизвестную угрозу RoarBAT для удаления данных на машинах под управлением Windows и сценария Bash в операционных системах Linux. Это было достигнуто с помощью WinRar, популярной программы архивации, для удаления файлов с затронутых устройств. Атака нанесла значительный ущерб ИТ-инфраструктуре украинского правительства, подчеркнув важность многофакторной аутентификации как критической меры безопасности для защиты от таких атак.
Оглавление
RoarBAT использует популярное архивное приложение WinRAR для удаления данных
Субъекты угрозы Sandworm используют сценарий BAT под названием «RoarBat» в Windows. Этот скрипт сканирует диски и определенные каталоги взломанных устройств на наличие различных типов файлов, включая doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar. , 7z, mp4, SQL, PHP, rar, 7z назад, vib, vrb, p7s, sys, dll, exe, bin и дата. Любой файл, соответствующий заданным критериям, затем архивируется с использованием популярного и легитимного архиватора WinRAR.
Однако злоумышленники используют параметр командной строки «-df» при выполнении WinRAR, что приводит к автоматическому удалению файлов в процессе архивации. Более того, сами архивы удаляются по завершении, что фактически приводит к безвозвратному стиранию данных на устройстве жертвы. Согласно CERT-UA, RoarBAT выполняется посредством запланированной задачи, которая централизованно распространяется на устройства домена Windows с помощью групповых политик.
Хакеры атакуют и Linux-системы
Киберпреступники использовали сценарий Bash в системах Linux, который использовал утилиту «dd» для замены содержимого целевых типов файлов нулевыми байтами, эффективно удаляя их данные. Восстановление файлов, «опустошенных» инструментом dd, маловероятно, если вообще возможно, из-за этой замены данных.
Использование законных программ, таких как команда «dd» и WinRAR, предполагает, что злоумышленники стремились избежать обнаружения программным обеспечением безопасности.
Сходства с предыдущими атаками на украинские объекты
По данным CERT-UA, недавняя разрушительная атака, совершенная Sandworm, имеет поразительное сходство с другой атакой, произошедшей в январе 2023 года на украинское государственное информационное агентство «Укринформ», которая также была приписана тому же злоумышленнику. Реализация угрожающего плана, IP-адреса, используемые злоумышленниками, и использование модифицированной версии RoarBAT — все это указывает на сходство между двумя кибератаками.
