RoarBAT มัลแวร์
ตามคำแนะนำล่าสุดที่ออกโดยทีมตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์ของรัฐบาลยูเครน (CERT-UA) กลุ่มแฮ็ครัสเซีย 'แซนด์เวิร์ม' ถูกสงสัยว่าเป็นผู้รับผิดชอบการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายเครือข่ายของรัฐยูเครน การโจมตีดำเนินการโดยใช้ประโยชน์จากบัญชี VPN ที่ถูกบุกรุกซึ่งไม่ได้รับการรักษาความปลอดภัยด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย ทำให้แฮ็กเกอร์สามารถเข้าถึงระบบที่สำคัญภายในเครือข่ายได้
เมื่อกลุ่ม Sandworm เข้าถึงอุปกรณ์เป้าหมายได้ พวกเขาใช้ RoarBAT ภัยคุกคามที่ไม่รู้จักก่อนหน้านี้เพื่อลบข้อมูลบนเครื่องที่ใช้ Windows และสคริปต์ Bash บนระบบปฏิบัติการ Linux สิ่งนี้ทำได้โดยใช้ WinRar ซึ่งเป็นโปรแกรมเก็บถาวรยอดนิยมเพื่อล้างไฟล์จากอุปกรณ์ที่ได้รับผลกระทบ การโจมตีดังกล่าวสร้างความเสียหายอย่างมากต่อโครงสร้างพื้นฐานด้านไอทีของรัฐบาลยูเครน โดยเน้นย้ำถึงความสำคัญของการรับรองความถูกต้องด้วยหลายปัจจัยในฐานะมาตรการรักษาความปลอดภัยที่สำคัญเพื่อป้องกันการโจมตีดังกล่าว
สารบัญ
RoarBAT ใช้ประโยชน์จาก WinRAR Archive Application ยอดนิยมเพื่อลบข้อมูล
ผู้คุกคาม Sandworm ใช้สคริปต์ BAT ที่เรียกว่า 'RoarBat' บน Windows สคริปต์นี้จะสแกนผ่านดิสก์และไดเร็กทอรีเฉพาะของอุปกรณ์ที่ถูกละเมิดสำหรับประเภทไฟล์จำนวนมาก รวมถึง doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP,rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin และวันที่ ไฟล์ใด ๆ ที่ตรงกับเกณฑ์ที่ตั้งไว้จะถูกเก็บถาวรโดยใช้เครื่องมือเก็บถาวร WinRAR ที่เป็นที่นิยมและถูกกฎหมาย
อย่างไรก็ตาม ผู้คุกคามใช้ประโยชน์จากตัวเลือกบรรทัดคำสั่ง '-df' เมื่อเรียกใช้งาน WinRAR ส่งผลให้ไฟล์ถูกลบโดยอัตโนมัติในระหว่างกระบวนการเก็บถาวร ยิ่งกว่านั้น ไฟล์เก็บถาวรจะถูกลบออกเมื่อเสร็จสิ้น ซึ่งนำไปสู่การลบข้อมูลบนอุปกรณ์ของเหยื่ออย่างถาวร ตาม CERT-UA RoarBAT จะดำเนินการผ่านงานตามกำหนดเวลาที่กระจายจากส่วนกลางไปยังอุปกรณ์โดเมน Windows ผ่านนโยบายกลุ่ม
แฮ็กเกอร์มีเป้าหมายที่ระบบ Linux เช่นกัน
อาชญากรไซเบอร์ใช้สคริปต์ Bash บนระบบ Linux ซึ่งใช้ยูทิลิตี้ 'dd' เพื่อแทนที่เนื้อหาของประเภทไฟล์เป้าหมายด้วยศูนย์ไบต์ ซึ่งลบข้อมูลได้อย่างมีประสิทธิภาพ การกู้คืนไฟล์ที่ 'ว่าง' โดยเครื่องมือ dd นั้นไม่น่าเป็นไปได้ เนื่องจากการเปลี่ยนข้อมูลนี้
การใช้โปรแกรมที่ถูกกฎหมาย เช่น คำสั่ง 'dd' และ WinRAR แสดงให้เห็นว่าผู้คุกคามมีเป้าหมายที่จะหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย
ความคล้ายคลึงกันกับการโจมตีเป้าหมายยูเครนก่อนหน้านี้
จากข้อมูลของ CERT-UA การโจมตีทำลายล้างล่าสุดที่ดำเนินการโดย Sandworm มีความคล้ายคลึงกันอย่างมากกับการโจมตีอีกครั้งที่เกิดขึ้นในเดือนมกราคม 2566 ในสำนักข่าวของรัฐยูเครน 'Ukrinform' ซึ่งมีสาเหตุมาจากผู้คุกคามรายเดียวกัน การดำเนินการตามแผนคุกคาม ที่อยู่ IP ที่ใช้โดยผู้โจมตี และการใช้ RoarBAT เวอร์ชันแก้ไข ล้วนชี้ไปที่ความคล้ายคลึงกันระหว่างการโจมตีทางไซเบอร์สองครั้ง
