RoarBAT Kötü Amaçlı Yazılımı
Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından yayınlanan yeni tavsiye belgesine göre, Rus bilgisayar korsanlığı grubu 'Sandworm'un Ukrayna devlet ağlarını hedef alan bir siber saldırıdan sorumlu olduğundan şüpheleniliyor. Saldırı, bilgisayar korsanlarının ağlardaki kritik sistemlere erişmesine izin veren, çok faktörlü kimlik doğrulama ile güvence altına alınmayan, güvenliği ihlal edilmiş VPN hesaplarından yararlanılarak gerçekleştirildi.
Sandworm grubu hedeflenen cihazlara girdikten sonra, Windows çalıştıran makinelerdeki verileri ve Linux işletim sistemlerinde Bash betiğini silmek için önceden bilinmeyen bir tehdit olan RoarBAT'ı kullandılar. Bu, etkilenen cihazlardan dosyaları silmek için popüler bir arşivleme programı olan WinRar kullanılarak gerçekleştirildi. Saldırı, Ukrayna hükümetinin BT altyapısında önemli hasara yol açarak, bu tür saldırılara karşı korunmak için kritik bir güvenlik önlemi olarak çok faktörlü kimlik doğrulamanın önemini vurguladı.
İçindekiler
RoarBAT, Verileri Silmek İçin Popüler WinRAR Arşiv Uygulamasını Kullanıyor
Sandworm tehdit aktörleri, Windows'ta 'RoarBat' adlı bir BAT komut dosyası kullanır. Bu komut dosyası, doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar dahil olmak üzere çok sayıda dosya türü için ihlal edilen cihazların disklerini ve belirli dizinlerini tarar , 7z, mp4, SQL, PHP,rar, 7z geri, vib, vrb, p7s, sys, dll, exe, bin ve tarih. Belirlenen kriterlerle eşleşen herhangi bir dosya daha sonra popüler ve meşru WinRAR arşivleme aracı kullanılarak arşivlenir.
Ancak, tehdit aktörleri WinRAR'ı çalıştırırken '-df' komut satırı seçeneğinden yararlanır ve bu da arşivleme işlemi sırasında dosyaların otomatik olarak silinmesine neden olur. Ayrıca, arşivlerin kendisi tamamlandıktan sonra kaldırılır ve bu da kurbanın cihazındaki verilerin kalıcı olarak silinmesine yol açar. CERT-UA'ya göre RoarBAT, Windows etki alanı cihazlarına grup ilkeleri aracılığıyla merkezi olarak dağıtılan zamanlanmış bir görev aracılığıyla yürütülür.
Hackerlar Linux Sistemlerini de Hedefliyor
Siber suçlular, hedeflenen dosya türlerinin içeriğini sıfır bayt ile değiştirmek ve verilerini etkili bir şekilde silmek için 'dd' yardımcı programını kullanan Linux sistemlerinde bir Bash betiği kullandı. Bu veri değişimi nedeniyle, dd aracı tarafından 'boşaltılmış' dosyaların kurtarılması imkansız değilse bile olası değildir.
'dd' komutu ve WinRAR gibi meşru programların kullanılması, tehdit aktörlerinin güvenlik yazılımları tarafından tespit edilmekten kaçınmayı amaçladıklarını gösteriyor.
Ukrayna Hedeflerine Yönelik Önceki Saldırılarla Benzerlikler
CERT-UA'ya göre, Sandworm tarafından yakın zamanda gerçekleştirilen yıkıcı saldırı, Ocak 2023'te Ukrayna devlet haber ajansı 'Ukrinform'a düzenlenen ve yine aynı tehdit aktörüne atfedilen başka bir saldırıyla çarpıcı benzerlikler taşıyor. Tehdit planının uygulanması, saldırganların kullandığı IP adresleri ve RoarBAT'ın değiştirilmiş bir sürümünün kullanılması, iki siber saldırı arasındaki benzerliğe işaret ediyor.
