Урядова команда реагування на компʼютерні надзвичайні події України CERT-UA дослідила кібератаку, імовірно асоційовану з угрупуванням Sandworm. Для виведення з ладу серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних зловмисники використали зокрема і легітимне програмне забезпечення.
- російські кампанії проти України: фішинг у Telegram, підробні сайти Meta та Ukr net, фальшиве оновлення Windows та фейк ChatGPT
- Хакери намагаються атакувати українців фейковими оновленнями операційної системи
- Невідомий хакер викрав у російських спецслужб 300 тисяч доларів у біткоінах і переказав їх Україні
Отримавши несанкціонований доступ до інформаційно-комунікаційної системи обʼєкту атаки, для виведення з ладу ЕОМ, що функціонують під управлінням операційної системи (ОС) Windows, застосовано RoarBat – BAT-скрипт. Скрипт здійснює рекурсивний пошук файлів за визначеним переліком розширень і для їхнього подальшого архівування використовує легітимне програмне забезпечення WinRAR з опцією «-df». Ця опція передбачає видалення вихідного файлу та подальше видалення створених архівів. Запуск згаданого скрипта здійснено за допомогою запланованого завдання. Воно, за попередньою інформацією, було створено та централізовано розповсюджено засобами групової політики (GPO).
Виведення з ладу ЕОМ під управленням ОС Linux здійснено за допомогою BASH-скрипта. Це, серед іншого, забезпечувалося використанням штатної утиліти «dd» для перезапису файлів нульовими байтами.
Спосіб реалізації зловмисного задуму, IP-адреси субʼєктів доступу та використання модифікованої версії RoarBat свідчать про схожість із кібератакою на Укрінформ. Описану активність із помірним рівнем впевненості CERT-UA асоціює з діяльністю угрупування Sandworm. Проте для її точкового відстежування створено відповідний ідентифікатор UAC-0165.
CERT-UA зазначає, що реалізації зловмисного задуму в цій та подібних атаках сприяють відсутність багатофакторної автентифікації при здійсненні віддалених підключень до VPN. А також відсутність сегментації мережі та фільтрації вхідних, вихідних та міжсегментних інформаційних потоків.
CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності. А також вживати невідкладних заходів зі зменшення «поверхні» атаки. Більш детальна інформація щодо невідкладних заходів кіберзахисту доступна за посиланням.