RoarBAT-Malware
Laut einer neuen Mitteilung des Computer Emergency Response Teams (CERT-UA) der ukrainischen Regierung steht die russische Hackergruppe „Sandworm“ im Verdacht, für einen Cyberangriff auf ukrainische Staatsnetzwerke verantwortlich zu sein. Der Angriff wurde durch die Ausnutzung kompromittierter VPN-Konten durchgeführt, die nicht durch Multi-Faktor-Authentifizierung gesichert waren, wodurch die Hacker Zugang zu kritischen Systemen innerhalb der Netzwerke erhielten.
Nachdem sich die Sandworm- Gruppe Zugang zu den Zielgeräten verschafft hatte, nutzte sie die bisher unbekannte Bedrohung RoarBAT, um Daten auf Computern mit Windows und ein Bash-Skript auf Linux-Betriebssystemen zu löschen. Dies wurde erreicht, indem WinRar, ein beliebtes Archivierungsprogramm, zum Löschen von Dateien von den betroffenen Geräten verwendet wurde. Der Angriff verursachte erheblichen Schaden an der IT-Infrastruktur der ukrainischen Regierung und unterstreicht die Bedeutung der Multi-Faktor-Authentifizierung als kritische Sicherheitsmaßnahme zum Schutz vor solchen Angriffen.
Inhaltsverzeichnis
RoarBAT nutzt die beliebte WinRAR-Archivierungsanwendung zum Löschen von Daten
Die Sandworm-Bedrohungsakteure verwenden unter Windows ein BAT-Skript namens „RoarBat“. Dieses Skript durchsucht die Festplatten und spezifischen Verzeichnisse der betroffenen Geräte nach zahlreichen Dateitypen, darunter doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z back, vib, vrb, p7s, sys, dll, exe, bin und date. Jede Datei, die den festgelegten Kriterien entspricht, wird dann mit dem beliebten und legitimen WinRAR-Archivierungstool archiviert.
Allerdings nutzen die Bedrohungsakteure beim Ausführen von WinRAR die Befehlszeilenoption „-df“, was zur automatischen Löschung von Dateien während des Archivierungsprozesses führt. Darüber hinaus werden die Archive selbst nach Abschluss entfernt, was faktisch zur dauerhaften Löschung der Daten auf dem Gerät des Opfers führt. Laut CERT-UA wird RoarBAT über eine geplante Aufgabe ausgeführt, die über Gruppenrichtlinien zentral an Windows-Domänengeräte verteilt wird.
Hacker haben es auch auf Linux-Systeme abgesehen
Die Cyberkriminellen verwendeten ein Bash-Skript auf Linux-Systemen, das das Dienstprogramm „dd“ nutzte, um den Inhalt der Zieldateitypen durch null Bytes zu ersetzen und so ihre Daten effektiv zu löschen. Die Wiederherstellung von Dateien, die vom dd-Tool „geleert“ wurden, ist aufgrund dieser Datenersetzung unwahrscheinlich, wenn nicht sogar unmöglich.
Die Verwendung legitimer Programme wie „dd“-Befehl und WinRAR deutet darauf hin, dass die Bedrohungsakteure darauf abzielten, der Erkennung durch Sicherheitssoftware zu entgehen.
Ähnlichkeiten mit früheren Angriffen auf ukrainische Ziele
Laut CERT-UA weist der jüngste zerstörerische Angriff von Sandworm verblüffende Ähnlichkeiten mit einem anderen Angriff im Januar 2023 auf die staatliche ukrainische Nachrichtenagentur „Ukrinform“ auf, der ebenfalls demselben Bedrohungsakteur zugeschrieben wurde. Die Umsetzung des Bedrohungsplans, die von den Angreifern verwendeten IP-Adressen und der Einsatz einer modifizierten Version von RoarBAT deuten alle auf die Ähnlichkeit zwischen den beiden Cyberangriffen hin.
