Phần mềm độc hại RoarBAT
Theo lời khuyên mới được đưa ra bởi Nhóm ứng phó khẩn cấp máy tính của chính phủ Ukraine (CERT-UA), nhóm hack 'Sandworm' của Nga bị nghi ngờ chịu trách nhiệm về một cuộc tấn công mạng nhắm vào các mạng của nhà nước Ukraine. Cuộc tấn công được thực hiện bằng cách khai thác các tài khoản VPN bị xâm nhập không được bảo mật bằng xác thực đa yếu tố, cho phép tin tặc có quyền truy cập vào các hệ thống quan trọng trong mạng.
Sau khi nhóm Sandworm giành được quyền truy cập vào các thiết bị được nhắm mục tiêu, chúng đã sử dụng mối đe dọa chưa biết trước đó là RoarBAT để xóa dữ liệu trên các máy chạy Windows và tập lệnh Bash trên hệ điều hành Linux. Điều này đã được thực hiện bằng cách sử dụng WinRar, một chương trình lưu trữ phổ biến, để xóa các tệp khỏi các thiết bị bị ảnh hưởng. Cuộc tấn công đã gây ra thiệt hại đáng kể cho cơ sở hạ tầng CNTT của chính phủ Ukraine, làm nổi bật tầm quan trọng của xác thực đa yếu tố như một biện pháp bảo mật quan trọng để bảo vệ chống lại các cuộc tấn công như vậy.
Mục lục
RoarBAT khai thác ứng dụng lưu trữ WinRAR phổ biến để xóa dữ liệu
Các tác nhân đe dọa Sandworm sử dụng tập lệnh BAT có tên 'RoarBat' trên Windows. Tập lệnh này quét qua các ổ đĩa và thư mục cụ thể của các thiết bị bị vi phạm để tìm nhiều loại tệp, bao gồm doc, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin và date. Sau đó, bất kỳ tệp nào phù hợp với tiêu chí đã đặt sẽ được lưu trữ bằng công cụ lưu trữ WinRAR phổ biến và hợp pháp.
Tuy nhiên, các tác nhân đe dọa tận dụng tùy chọn dòng lệnh '-df' khi thực thi WinRAR, dẫn đến việc tự động xóa các tệp trong quá trình lưu trữ. Hơn nữa, bản thân các kho lưu trữ sẽ bị xóa sau khi hoàn thành, dẫn đến việc xóa vĩnh viễn dữ liệu trên thiết bị của nạn nhân. Theo CERT-UA, RoarBAT được thực thi thông qua một tác vụ theo lịch trình được phân phối tập trung cho các thiết bị miền Windows thông qua chính sách nhóm.
Tin tặc cũng nhắm mục tiêu vào các hệ thống Linux
Tội phạm mạng đã sử dụng tập lệnh Bash trên các hệ thống Linux, sử dụng tiện ích 'dd' để thay thế nội dung của các loại tệp được nhắm mục tiêu bằng 0 byte, xóa dữ liệu của chúng một cách hiệu quả. Việc khôi phục các tệp bị 'làm trống' bằng công cụ dd là không thể, nếu không muốn nói là không thể, do việc thay thế dữ liệu này.
Việc sử dụng các chương trình hợp pháp như lệnh 'dd' và WinRAR cho thấy rằng các tác nhân đe dọa nhằm mục đích trốn tránh sự phát hiện của phần mềm bảo mật.
Điểm tương đồng với các cuộc tấn công trước đây vào các mục tiêu Ukraine
Theo CERT-UA, cuộc tấn công phá hoại gần đây do Sandworm thực hiện có những điểm tương đồng đáng kinh ngạc với một cuộc tấn công khác xảy ra vào tháng 1 năm 2023 nhằm vào hãng thông tấn nhà nước Ukraine, 'Ukrinform', cũng được cho là do cùng một kẻ đe dọa thực hiện. Việc thực hiện kế hoạch đe dọa, địa chỉ IP được sử dụng bởi những kẻ tấn công và việc sử dụng phiên bản sửa đổi của RoarBAT đều chỉ ra sự giống nhau giữa hai cuộc tấn công mạng.
