Malware RoarBAT
Sipas këshillave të reja të lëshuara nga Ekipi i Reagimit të Emergjencave Kompjuterike të Qeverisë së Ukrainës (CERT-UA), grupi rus i hakerëve 'Sandworm' dyshohet të jetë përgjegjës për një sulm kibernetik që synonte rrjetet shtetërore të Ukrainës. Sulmi u krye duke shfrytëzuar llogari të komprometuara VPN që nuk ishin të siguruara me vërtetim me shumë faktorë, duke i lejuar hakerat të kenë akses në sistemet kritike brenda rrjeteve.
Pasi grupi Sandworm fitoi hyrjen në pajisjet e synuara, ata përdorën kërcënimin e panjohur më parë RoarBAT për të fshirë të dhënat në makinat që funksionojnë Windows dhe një skript Bash në sistemet operative Linux. Kjo u arrit duke përdorur WinRar, një program popullor arkivimi, për të fshirë skedarët nga pajisjet e prekura. Sulmi shkaktoi dëme të konsiderueshme në infrastrukturën e TI-së të qeverisë ukrainase, duke theksuar rëndësinë e vërtetimit me shumë faktorë si një masë kritike sigurie për t'u mbrojtur nga sulme të tilla.
Tabela e Përmbajtjes
RoarBAT shfrytëzon aplikacionin popullor të arkivit WinRAR për të fshirë të dhënat
Aktorët e kërcënimit të Sandworm përdorin një skript BAT të quajtur 'RoarBat' në Windows. Ky skript skanon nëpër disqet dhe drejtoritë specifike të pajisjeve të shkelura për lloje të shumta skedarësh, duke përfshirë doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z prapa, vib, vrb, p7s, sys, dll, exe, bin dhe data. Çdo skedar që përputhet me kriteret e vendosura më pas arkivohet duke përdorur mjetin popullor dhe legjitim të arkivimit WinRAR.
Megjithatë, aktorët e kërcënimit përdorin opsionin e linjës së komandës '-df' kur ekzekutojnë WinRAR, duke rezultuar në fshirjen automatike të skedarëve gjatë procesit të arkivimit. Për më tepër, vetë arkivat hiqen pas përfundimit, duke çuar në mënyrë efektive në fshirjen e përhershme të të dhënave në pajisjen e viktimës. Sipas CERT-UA, RoarBAT ekzekutohet përmes një detyre të planifikuar që shpërndahet në mënyrë qendrore në pajisjet e domenit Windows nëpërmjet politikave të grupit.
Hakerët synojnë gjithashtu sistemet Linux
Kriminelët kibernetikë përdorën një skript Bash në sistemet Linux, i cili përdori mjetin 'dd' për të zëvendësuar përmbajtjen e llojeve të skedarëve të synuar me zero bajt, duke fshirë në mënyrë efektive të dhënat e tyre. Rikuperimi i skedarëve të 'zbrazur' nga mjeti dd nuk ka gjasa, nëse jo i pamundur, për shkak të këtij zëvendësimi të të dhënave.
Përdorimi i programeve legjitime si komanda 'dd' dhe WinRAR sugjeron që aktorët e kërcënimit synonin të shmangnin zbulimin nga softueri i sigurisë.
Ngjashmëritë me sulmet e mëparshme kundër objektivave ukrainas
Sipas CERT-UA, sulmi i fundit shkatërrues i kryer nga Sandworm ka ngjashmëri të habitshme me një sulm tjetër që ndodhi në janar 2023 në agjencinë shtetërore të lajmeve të Ukrainës, "Ukrinform", i cili gjithashtu i atribuohej të njëjtit aktor kërcënimi. Zbatimi i planit kërcënues, adresat IP të përdorura nga sulmuesit dhe përdorimi i një versioni të modifikuar të RoarBAT tregojnë të gjitha ngjashmërinë midis dy sulmeve kibernetike.
