ΑρχικήsecuritySandworm: Χρησιμοποίησε WinRAR για την καταστροφή δεδομένων μιας ουκρανικής κρατικής υπηρεσίας

Sandworm: Χρησιμοποίησε WinRAR για την καταστροφή δεδομένων μιας ουκρανικής κρατικής υπηρεσίας

Ρώσοι χάκερ (ομάδα Sandworm) χρησιμοποίησαν το WinRAR για να κάνουν wipe τα δεδομένα μιας ουκρανικής κρατικής υπηρεσίας.

Sandworm WinRAR

Η ρωσική ομάδα hacking “Sandworm” συνδέθηκε με μια επίθεση σε ουκρανικά κρατικά δίκτυα, στην οποία χρησιμοποιήθηκε το WinRar για την καταστροφή δεδομένων σε κυβερνητικές συσκευές.

Σε ένα νέο advisory, η Ουκρανική Κυβερνητική Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών σε Θέματα Υπολογιστών (CERT-UA) δήλωσε ότι οι Ρώσοι χάκερ χρησιμοποίησαν παραβιασμένους λογαριασμούς VPN που δεν προστατεύονταν με έλεγχο ταυτότητας πολλαπλών παραγόντων προκειμένου να αποκτήσουν πρόσβαση σε κρίσιμα συστήματα εντός των ουκρανικών κρατικών δικτύων.

Μόλις απέκτησαν πρόσβαση στο δίκτυο, χρησιμοποίησαν scripts που διέγραψαν αρχεία σε υπολογιστές Windows και Linux χρησιμοποιώντας το πρόγραμμα αρχειοθέτησης WinRAR.

Στα Windows, το BAT script που χρησιμοποιείται από το Sandworm είναι «RoarBat», το οποίο αναζητά δίσκους και συγκεκριμένους καταλόγους για τύπους αρχείων όπως doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin και dat και τα αρχειοθετεί χρησιμοποιώντας το πρόγραμμα WinRAR.

Ωστόσο, όταν εκτελείται το WinRAR, οι χάκερ χρησιμοποιούν την επιλογή γραμμής εντολών “-df”, η οποία διαγράφει αυτόματα τα αρχεία καθώς αρχειοθετούνται. Στη συνέχεια, τα ίδια τα αρχεία διαγράφονται, διαγράφοντας ουσιαστικά τα δεδομένα στη συσκευή.

Η CERT-UA αναφέρει ότι το RoarBAT εκτελείται μέσω μιας προγραμματισμένης εργασίας, η οποία δημιουργείται και διανέμεται κεντρικά σε συσκευές στο Windows domain μέσω group policies.

Στα συστήματα Linux, οι απειλητές χρησιμοποίησαν ένα Bash script, το οποίο χρησιμοποιούσε το βοηθητικό πρόγραμμα “dd” για να αντικαταστήσει τους τύπους αρχείων-στόχων με zero bytes, διαγράφοντας έτσι το περιεχόμενό τους. Λόγω αυτής της αντικατάστασης δεδομένων, η ανάκτηση των αρχείων που “αδειάστηκαν” με τη χρήση του εργαλείου dd είναι απίθανη, αν όχι εντελώς αδύνατη.

Καθώς τόσο η εντολή ‘dd’ όσο και το WinRar είναι νόμιμα προγράμματα, οι απειλητές πιθανότατα τα χρησιμοποίησαν για να παρακάμψουν την ανίχνευση από το λογισμικό ασφαλείας.

Η CERT-UA αναφέρει ότι το περιστατικό είναι παρόμοιο με μια άλλη καταστροφική επίθεση που έπληξε το ουκρανικό κρατικό πρακτορείο ειδήσεων “Ukrinform” τον Ιανουάριο του 2023, η οποία επίσης αποδόθηκε στην ομάδα Sandworm.

Η CERT-UA συνιστά σε όλους τους οργανισμούς ζωτικής σημασίας εντός της χώρας να μειώσουν το attack surface, να επιδιορθώσουν τυχόν σφάλματα, να απενεργοποιήσουν τυχόν μη απαραίτητες υπηρεσίες, να περιορίσουν την πρόσβαση στα management interfaces και να παρακολουθούν την κυκλοφορία και τα αρχεία καταγραφής του δικτύου τους.

Όπως πάντα, οι λογαριασμοί VPN που επιτρέπουν την πρόσβαση σε εταιρικά δίκτυα θα πρέπει να προστατεύονται με έλεγχο ταυτότητας πολλαπλών παραγόντων.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS