Шкідливе програмне забезпечення RoarBAT
Згідно зі свіжими рекомендаціями, опублікованими Українською урядовою групою реагування на комп’ютерні надзвичайні ситуації (CERT-UA), російську хакерську групу «Sandworm» підозрюють у відповідальності за кібератаку, спрямовану на українські державні мережі. Атака була здійснена шляхом використання скомпрометованих облікових записів VPN, які не були захищені багатофакторною автентифікацією, що дозволило хакерам отримати доступ до критично важливих систем у мережах.
Після того, як група Sandworm отримала доступ до цільових пристроїв, вони використали раніше невідому загрозу RoarBAT для видалення даних на машинах під керуванням Windows і сценарію Bash в операційних системах Linux. Це було досягнуто за допомогою WinRar, популярної програми-архіватора, для видалення файлів із уражених пристроїв. Атака завдала значної шкоди ІТ-інфраструктурі українського уряду, підкреслюючи важливість багатофакторної автентифікації як критичного заходу безпеки для захисту від таких атак.
Зміст
RoarBAT використовує популярну програму архівування WinRAR для видалення даних
Актори загрози Sandworm використовують сценарій BAT під назвою "RoarBat" у Windows. Цей сценарій сканує диски та певні каталоги зламаних пристроїв на наявність численних типів файлів, зокрема doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin і date. Будь-який файл, який відповідає встановленим критеріям, потім архівується за допомогою популярного та законного архіватора WinRAR.
Однак під час запуску WinRAR зловмисники використовують параметр командного рядка «-df», що призводить до автоматичного видалення файлів під час процесу архівування. Крім того, самі архіви видаляються після завершення, що фактично призводить до остаточного видалення даних на пристрої жертви. Відповідно до CERT-UA, RoarBAT виконується через заплановане завдання, яке централізовано розподіляється на пристрої домену Windows через групові політики.
Хакери також націлені на системи Linux
Кіберзлочинці використовували сценарій Bash у системах Linux, який використовував утиліту «dd» для заміни вмісту цільових типів файлів нульовими байтами, фактично видаляючи їхні дані. Відновлення файлів, «очищених» інструментом dd, малоймовірно, якщо не неможливо, через цю заміну даних.
Використання законних програм, таких як команда «dd» і WinRAR, свідчить про те, що зловмисники мали на меті уникнути виявлення програмним забезпеченням безпеки.
Подібності з попередніми атаками на українські цілі
За даними CERT-UA, нещодавня руйнівна атака, здійснена Sandworm, має разючу схожість з іншою атакою, яка сталася в січні 2023 року на українське державне інформаційне агентство «Укрінформ», яку також приписували тому ж суб’єкту загрози. Реалізація загрозливого плану, IP-адреси, які використовували зловмисники, і використання модифікованої версії RoarBAT вказують на схожість між двома кібератаками.
