Российские хакеры используют WinRAR для уничтожения данных госагентства Украины

Российская хакерская группа Sandworm связана с атакой на украинские государственные сети, где WinRar использовался для уничтожения данных на правительственных устройствах.

В новом сообщении Группы реагирования на компьютерные чрезвычайные ситуации правительства Украины (CERT-UA) говорится, что российские хакеры использовали скомпрометированные учетные записи VPN, которые не были защищены многофакторной аутентификацией, для доступа к критически важным системам в украинских государственных сетях.

Получив доступ к сети, они использовали сценарии, которые стирали файлы на компьютерах с Windows и Linux с помощью программы архивирования WinRar.

В Windows используется сценарий BAT «RoarBat», который ищет на дисках и в определенных каталогах такие типы файлов, как doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin и dat и архивирует их с помощью программы WinRAR.

Однако при запуске WinRar злоумышленники используют параметр командной строки «-df», который автоматически удаляет файлы по мере их архивирования. Затем сами архивы были удалены, что фактически привело к удалению данных на устройстве.

CERT-UA сообщает, что RoarBAT запускается с помощью запланированной задачи, которая создается и централизованно распространяется на устройства в домене Windows с помощью групповых политик.

В системах Linux злоумышленники вместо этого использовали сценарий Bash, в котором утилита «dd» перезаписывала целевые типы файлов нулевыми байтами, стирая их содержимое. Из-за такой замены данных восстановление файлов, «опустошенных» с помощью инструмента dd, маловероятно, если вообще возможно.

Поскольку и команда «dd», и WinRar являются законными программами, злоумышленники, вероятно, использовали их, чтобы обойти обнаружение защитным программным обеспечением.

CERT-UA сообщает, что инцидент аналогичен другой разрушительной атаке, которая произошла на украинское государственное информационное агентство "Укринформ" в январе 2023 года и также приписываемой Sandworm.

"Способ реализации вредоносного плана, IP-адреса субъектов доступа, а также факт использования модифицированной версии RoarBat свидетельствуют о сходстве с кибератакой на Укринформ, информация о которой была опубликована в Telegram-канале" КиберАрмияРоссии_Возрождение» 17 января 2023 года». читает рекомендацию CERT-UA.

CERT-UA рекомендует всем критически важным организациям в стране сократить поверхность атак, исправить недостатки, отключить ненужные сервисы, ограничить доступ к интерфейсам управления и отслеживать сетевой трафик и журналы.

Как всегда, учетные записи VPN, которые разрешают доступ к корпоративным сетям, должны быть защищены многофакторной аутентификацией.

Google: Украина стала объектом 60% российских фишинговых атак в 2023 году

Новая карта CS:GO обходит российскую цензуру украинских военных новостей

Хакеры используют поддельные руководства «Центр обновления Windows», чтобы атаковать украинское правительство

Киберагентство Великобритании предупреждает о новом «классе» российских хакеров

Украинца арестовали за продажу россиянам данных 300 миллионов человек