Logiciel malveillant RoarBAT
Selon un nouvel avis publié par l'équipe d'intervention d'urgence informatique du gouvernement ukrainien (CERT-UA), le groupe de piratage russe "Sandworm" est soupçonné d'être responsable d'une cyberattaque qui a ciblé les réseaux de l'État ukrainien. L'attaque a été menée en exploitant des comptes VPN compromis qui n'étaient pas sécurisés par une authentification multifacteur, permettant aux pirates d'accéder à des systèmes critiques au sein des réseaux.
Une fois que le groupe Sandworm a eu accès aux appareils ciblés, il a utilisé la menace auparavant inconnue RoarBAT pour supprimer des données sur des machines exécutant Windows et un script Bash sur les systèmes d'exploitation Linux. Cela a été accompli en utilisant WinRar, un programme d'archivage populaire, pour effacer les fichiers des appareils concernés. L'attaque a causé des dommages importants à l'infrastructure informatique du gouvernement ukrainien, soulignant l'importance de l'authentification multifacteur en tant que mesure de sécurité essentielle pour se protéger contre de telles attaques.
Table des matières
RoarBAT exploite l'application d'archivage populaire WinRAR pour supprimer des données
Les acteurs de la menace Sandworm utilisent un script BAT appelé "RoarBat" sous Windows. Ce script analyse les disques et les répertoires spécifiques des périphériques piratés pour de nombreux types de fichiers, y compris doc, df, png, docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar , 7z, mp4, SQL, PHP, rar, 7z retour, vib, vrb, p7s, sys, dll, exe, bin et date. Tout fichier correspondant aux critères définis est ensuite archivé à l'aide de l'outil d'archivage WinRAR populaire et légitime.
Cependant, les pirates exploitent l'option de ligne de commande "-df" lors de l'exécution de WinRAR, ce qui entraîne la suppression automatique des fichiers pendant le processus d'archivage. De plus, les archives elles-mêmes sont supprimées une fois terminées, ce qui entraîne effectivement l'effacement permanent des données sur l'appareil de la victime. Selon CERT-UA, RoarBAT est exécuté via une tâche planifiée qui est distribuée de manière centralisée aux périphériques de domaine Windows via des stratégies de groupe.
Les pirates ciblent également les systèmes Linux
Les cybercriminels ont utilisé un script Bash sur les systèmes Linux, qui utilisait l'utilitaire "dd" pour remplacer le contenu des types de fichiers ciblés par zéro octet, effaçant efficacement leurs données. La récupération des fichiers «vidés» par l'outil dd est peu probable, voire impossible, en raison de ce remplacement de données.
L'utilisation de programmes légitimes tels que la commande "dd" et WinRAR suggère que les acteurs de la menace visaient à échapper à la détection par les logiciels de sécurité.
Similitudes avec les attaques précédentes contre des cibles ukrainiennes
Selon le CERT-UA, la récente attaque destructrice menée par Sandworm présente des similitudes frappantes avec une autre attaque survenue en janvier 2023 contre l'agence de presse ukrainienne Ukrinform, qui a également été attribuée au même acteur menaçant. La mise en œuvre du plan menaçant, les adresses IP utilisées par les attaquants et l'utilisation d'une version modifiée de RoarBAT indiquent tous la ressemblance entre les deux cyberattaques.
