Malvér RoarBAT
Podľa čerstvého upozornenia vydaného ukrajinským vládnym tímom pre počítačovú núdzovú reakciu (CERT-UA) je ruská hackerská skupina „Sandworm“ podozrivá zo zodpovednosti za kybernetický útok, ktorý sa zameral na ukrajinské štátne siete. Útok bol vykonaný zneužitím kompromitovaných účtov VPN, ktoré neboli zabezpečené viacfaktorovou autentifikáciou, čo hackerom umožnilo získať prístup ku kritickým systémom v rámci sietí.
Keď skupina Sandworm získala prístup k cieľovým zariadeniam, použila predtým neznámu hrozbu RoarBAT na vymazanie údajov na počítačoch so systémom Windows a skriptu Bash na operačných systémoch Linux. Dosiahlo sa to pomocou WinRar, populárneho archivačného programu, na vymazanie súborov z postihnutých zariadení. Útok spôsobil značné poškodenie IT infraštruktúry ukrajinskej vlády, čo zdôraznilo dôležitosť viacfaktorovej autentifikácie ako kritického bezpečnostného opatrenia na ochranu pred takýmito útokmi.
Obsah
RoarBAT využíva populárnu archívnu aplikáciu WinRAR na odstránenie údajov
Herci hrozby Sandworm používajú BAT skript s názvom „RoarBat“ v systéme Windows. Tento skript prehľadáva disky a špecifické adresáre poškodených zariadení a hľadá množstvo typov súborov vrátane doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z späť, vib, vrb, p7s, sys, dll, exe, bin a dátum. Každý súbor, ktorý vyhovuje nastaveným kritériám, je potom archivovaný pomocou obľúbeného a legitímneho archivačného nástroja WinRAR.
Avšak aktéri hrozieb využívajú možnosť príkazového riadka '-df' pri spustení WinRAR, čo vedie k automatickému vymazaniu súborov počas procesu archivácie. Okrem toho sa po dokončení odstránia samotné archívy, čo v skutočnosti vedie k trvalému vymazaniu údajov zo zariadenia obete. Podľa CERT-UA sa RoarBAT vykonáva prostredníctvom naplánovanej úlohy, ktorá je centrálne distribuovaná do zariadení domény Windows prostredníctvom skupinových zásad.
Hackeri sa zameriavajú aj na systémy Linux
Kyberzločinci použili skript Bash na systémoch Linux, ktorý využíval nástroj „dd“ na nahradenie obsahu cieľových typov súborov nulovými bajtmi, čím efektívne vymazali ich údaje. Obnova súborov „vyprázdnených“ nástrojom dd je nepravdepodobná, ak nie nemožná, kvôli tejto výmene údajov.
Používanie legitímnych programov, ako je príkaz 'dd' a WinRAR, naznačuje, že aktéri hrozby sa snažili vyhnúť detekcii bezpečnostným softvérom.
Podobnosti s predchádzajúcimi útokmi na ukrajinské ciele
Podľa CERT-UA sa nedávny deštruktívny útok, ktorý vykonal Sandworm, nápadne podobá na iný útok, ku ktorému došlo v januári 2023 na ukrajinskú štátnu tlačovú agentúru „Ukrinform“, ktorý bol tiež pripísaný tomu istému aktérovi hrozby. Implementácia hrozivého plánu, adresy IP používané útočníkmi a použitie upravenej verzie RoarBAT, to všetko poukazuje na podobnosť medzi týmito dvoma kybernetickými útokmi.
