RoarBAT మాల్వేర్
ఉక్రేనియన్ ప్రభుత్వ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA) విడుదల చేసిన తాజా సలహా ప్రకారం, ఉక్రేనియన్ స్టేట్ నెట్వర్క్లను లక్ష్యంగా చేసుకున్న సైబర్ దాడికి రష్యన్ హ్యాకింగ్ గ్రూప్ 'సాండ్వార్మ్' కారణమని అనుమానిస్తున్నారు. బహుళ-కారకాల ప్రామాణీకరణతో సురక్షితం కాని రాజీపడిన VPN ఖాతాలను ఉపయోగించడం ద్వారా దాడి జరిగింది, ఇది నెట్వర్క్లలోని క్లిష్టమైన సిస్టమ్లకు హ్యాకర్లు యాక్సెస్ను పొందేందుకు వీలు కల్పిస్తుంది.
ఒకసారి Sandworm సమూహం లక్ష్య పరికరాలలోకి ప్రవేశించిన తర్వాత, వారు Windows మరియు Linux ఆపరేటింగ్ సిస్టమ్లలో ఒక Bash స్క్రిప్ట్ని అమలు చేసే మెషీన్లలోని డేటాను తొలగించడానికి గతంలో తెలియని ముప్పు RoarBATని ఉపయోగించారు. ప్రభావిత పరికరాల నుండి ఫైల్లను తుడిచివేయడానికి WinRar, ప్రసిద్ధ ఆర్కైవింగ్ ప్రోగ్రామ్ని ఉపయోగించడం ద్వారా ఇది సాధించబడింది. ఈ దాడి ఉక్రేనియన్ ప్రభుత్వ IT అవస్థాపనకు గణనీయమైన నష్టాన్ని కలిగించింది, అటువంటి దాడుల నుండి రక్షించడానికి ఒక క్లిష్టమైన భద్రతా చర్యగా బహుళ-కారకాల ప్రమాణీకరణ యొక్క ప్రాముఖ్యతను హైలైట్ చేసింది.
విషయ సూచిక
RoarBAT డేటాను తొలగించడానికి జనాదరణ పొందిన WinRAR ఆర్కైవ్ అప్లికేషన్ను ఉపయోగించుకుంటుంది
శాండ్వార్మ్ బెదిరింపు నటులు విండోస్లో 'రోర్బాట్' అనే BAT స్క్రిప్ట్ను ఉపయోగిస్తున్నారు. ఈ స్క్రిప్ట్ doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar వంటి అనేక ఫైల్ రకాల కోసం ఉల్లంఘించిన పరికరాల యొక్క డిస్క్లు మరియు నిర్దిష్ట డైరెక్టరీల ద్వారా స్కాన్ చేస్తుంది. , 7z, mp4, SQL, PHP,rar, 7z బ్యాక్, vib, vrb, p7s, sys, dll, exe, బిన్ మరియు తేదీ. సెట్ ప్రమాణాలకు సరిపోయే ఏదైనా ఫైల్ జనాదరణ పొందిన మరియు చట్టబద్ధమైన WinRAR ఆర్కైవర్ సాధనాన్ని ఉపయోగించి ఆర్కైవ్ చేయబడుతుంది.
అయినప్పటికీ, WinRARని అమలు చేస్తున్నప్పుడు ముప్పు నటులు '-df' కమాండ్-లైన్ ఎంపికను ప్రభావితం చేస్తారు, దీని ఫలితంగా ఆర్కైవింగ్ ప్రక్రియలో ఫైల్లు స్వయంచాలకంగా తొలగించబడతాయి. అంతేకాకుండా, ఆర్కైవ్లు పూర్తయిన తర్వాత తీసివేయబడతాయి, ఇది బాధితుడి పరికరంలోని డేటాను శాశ్వతంగా తొలగించడానికి ప్రభావవంతంగా దారితీస్తుంది. CERT-UA ప్రకారం, RoarBAT అనేది సమూహ విధానాల ద్వారా విండోస్ డొమైన్ పరికరాలకు కేంద్రంగా పంపిణీ చేయబడిన షెడ్యూల్ చేసిన పని ద్వారా అమలు చేయబడుతుంది.
హ్యాకర్లు Linux సిస్టమ్లను కూడా టార్గెట్ చేస్తారు
సైబర్ నేరగాళ్లు Linux సిస్టమ్స్లో బాష్ స్క్రిప్ట్ను ఉపయోగించారు, ఇది 'dd' యుటిలిటీని ఉపయోగించుకుని టార్గెట్ చేసిన ఫైల్ రకాల కంటెంట్లను జీరో బైట్లతో భర్తీ చేసి, వారి డేటాను ప్రభావవంతంగా తొలగిస్తుంది. ఈ డేటా రీప్లేస్మెంట్ కారణంగా dd సాధనం ద్వారా 'ఖాళీ' అయిన ఫైల్ల పునరుద్ధరణ అసంభవం కాకపోయినా అసాధ్యం.
'dd' కమాండ్ మరియు WinRAR వంటి చట్టబద్ధమైన ప్రోగ్రామ్ల ఉపయోగం ముప్పు నటులు భద్రతా సాఫ్ట్వేర్ ద్వారా గుర్తించకుండా తప్పించుకోవడానికి లక్ష్యంగా పెట్టుకున్నారని సూచిస్తుంది.
ఉక్రేనియన్ లక్ష్యాలపై మునుపటి దాడులతో సారూప్యతలు
CERT-UA ప్రకారం, సాండ్వార్మ్ ఇటీవల జరిపిన విధ్వంసక దాడి ఉక్రేనియన్ స్టేట్ న్యూస్ ఏజెన్సీ 'ఉక్రిన్ఫార్మ్'పై జనవరి 2023లో జరిగిన మరొక దాడికి సారూప్యతను కలిగి ఉంది, దీనికి కూడా అదే బెదిరింపు నటుడి ఆపాదించబడింది. బెదిరింపు ప్రణాళిక అమలు, దాడి చేసేవారు ఉపయోగించే IP చిరునామాలు మరియు RoarBAT యొక్క సవరించిన సంస్కరణ యొక్క ఉపాధి రెండూ రెండు సైబర్టాక్ల మధ్య సారూప్యతను సూచిస్తాయి.
