Zlonamerna programska oprema RoarBAT
Po novem nasvetu, ki ga je objavila ukrajinska vladna ekipa za odzivanje na računalniške nujne primere (CERT-UA), naj bi bila ruska hekerska skupina 'Sandworm' odgovorna za kibernetski napad, ki je bil usmerjen na ukrajinska državna omrežja. Napad je bil izveden z izkoriščanjem ogroženih računov VPN, ki niso bili zavarovani z večfaktorsko avtentikacijo, kar je hekerjem omogočilo dostop do kritičnih sistemov v omrežjih.
Ko je skupina Sandworm pridobila dostop do ciljnih naprav, je uporabila prej neznano grožnjo RoarBAT za brisanje podatkov na napravah z operacijskim sistemom Windows in skriptom Bash v operacijskih sistemih Linux. To je bilo doseženo z uporabo WinRar, priljubljenega programa za arhiviranje, za brisanje datotek iz prizadetih naprav. Napad je povzročil znatno škodo IT-infrastrukturi ukrajinske vlade, kar je poudarilo pomen večfaktorske avtentikacije kot kritičnega varnostnega ukrepa za zaščito pred takšnimi napadi.
Kazalo
RoarBAT izkorišča priljubljeno arhivsko aplikacijo WinRAR za brisanje podatkov
Akterji grožnje Sandworm uporabljajo skript BAT, imenovan 'RoarBat' v sistemu Windows. Ta skript pregleduje diske in posebne imenike vlomljenih naprav za številne vrste datotek, vključno z doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z nazaj, vib, vrb, p7s, sys, dll, exe, bin in datum. Vsaka datoteka, ki ustreza nastavljenim kriterijem, se nato arhivira z uporabo priljubljenega in zakonitega orodja za arhiviranje WinRAR.
Vendar akterji groženj pri izvajanju WinRAR izkoristijo možnost ukazne vrstice '-df', kar povzroči samodejno brisanje datotek med postopkom arhiviranja. Poleg tega se sami arhivi po zaključku odstranijo, kar dejansko vodi do trajnega izbrisa podatkov v napravi žrtve. Glede na CERT-UA se RoarBAT izvaja prek načrtovane naloge, ki je centralno razdeljena napravam domene Windows prek skupinskih pravilnikov.
Hekerji ciljajo tudi na sisteme Linux
Kibernetski kriminalci so uporabili skript Bash v sistemih Linux, ki je uporabil pripomoček 'dd' za zamenjavo vsebine ciljnih vrst datotek z nič bajti, kar je učinkovito izbrisalo njihove podatke. Obnovitev datotek, "izpraznjenih" z orodjem dd, je malo verjetna, če ne nemogoča, zaradi te zamenjave podatkov.
Uporaba zakonitih programov, kot sta ukaz 'dd' in WinRAR, nakazuje, da so se akterji groženj želeli izogniti odkrivanju varnostne programske opreme.
Podobnosti s prejšnjimi napadi na ukrajinske tarče
Po mnenju CERT-UA je nedavni uničujoči napad, ki ga je izvedel Sandworm, presenetljivo podoben drugemu napadu, ki se je januarja 2023 zgodil na ukrajinsko državno tiskovno agencijo Ukrinform, ki je bil prav tako pripisan istemu akterju grožnje. Izvedba grozilnega načrta, naslovi IP, ki so jih uporabili napadalci, in uporaba spremenjene različice RoarBAT kažejo na podobnost med obema kibernetskima napadoma.
