РоарБАТ Малваре
Према новом савету који је објавио тим за компјутерске хитне случајеве украјинске владе (ЦЕРТ-УА), сумња се да је руска хакерска група „Пешчани црв” одговорна за сајбер напад који је циљао украјинске државне мреже. Напад је изведен коришћењем компромитованих ВПН налога који нису били обезбеђени вишефакторском аутентификацијом, омогућавајући хакерима да добију приступ критичним системима унутар мрежа.
Када је група Сандворм ушла у циљане уређаје, користила је раније непознату претњу РоарБАТ да избрише податке на машинама које користе Виндовс и Басх скрипту на Линук оперативним системима. Ово је постигнуто коришћењем ВинРар-а, популарног програма за архивирање, за брисање датотека са погођених уређаја. Напад је нанео значајну штету ИТ инфраструктури украјинске владе, наглашавајући важност вишефакторске аутентификације као критичне безбедносне мере за заштиту од таквих напада.
Преглед садржаја
РоарБАТ користи популарну ВинРАР архивску апликацију за брисање података
Актери претњи Сандворм користе БАТ скрипту под називом 'РоарБат' на Виндовс-у. Ова скрипта скенира дискове и одређене директоријуме оштећених уређаја за бројне типове датотека, укључујући доц, дф, пнг, доцк, клс, клск, ппт, пптк, всд, всдк, ртф, ткт, п јпег, јпг, зип, рар , 7з, мп4, СКЛ, ПХП, рар, 7з бацк, виб, врб, п7с, сис, длл, еке, бин и датум. Свака датотека која одговара постављеним критеријумима се затим архивира коришћењем популарног и легитимног ВинРАР алата за архивирање.
Међутим, актери претњи користе опцију командне линије '-дф' када извршавају ВинРАР, што резултира аутоматским брисањем датотека током процеса архивирања. Штавише, саме архиве се уклањају по завршетку, што ефективно доводи до трајног брисања података на уређају жртве. Према ЦЕРТ-УА, РоарБАТ се извршава преко планираног задатка који се централно дистрибуира уређајима Виндовс домена преко групних смерница.
Хакери циљају и на Линук системе
Сајбер-криминалци су користили Басх скрипту на Линук системима, који је користио услужни програм 'дд' да замени садржај циљаних типова датотека са нула бајтова, ефикасно бришући њихове податке. Опоравак датотека које је „испразнио“ дд алат је мало вероватан, ако не и немогућ, због ове замене података.
Употреба легитимних програма попут команде 'дд' и ВинРАР-а сугерише да су актери претњи имали за циљ да избегну откривање од стране безбедносног софтвера.
Сличности са претходним нападима на украјинске мете
Према ЦЕРТ-УА, недавни деструктивни напад који је извео Сандворм има запањујуће сличности са другим нападом који се догодио у јануару 2023. на украјинску државну новинску агенцију „Укринформ“, који је такође приписан истом актеру претње. Имплементација претећег плана, ИП адресе које су користили нападачи и употреба модификоване верзије РоарБАТ-а све то указује на сличност између два сајбер напада.
