Gli hacker russi usano WinRAR per cancellare i dati dell'agenzia statale ucraina

Il gruppo di hacker russo "Sandworm" è stato collegato a un attacco alle reti statali ucraine in cui WinRar è stato utilizzato per distruggere i dati sui dispositivi governativi.

In un nuovo avviso, il Computer Emergency Response Team (CERT-UA) del governo ucraino afferma che gli hacker russi hanno utilizzato account VPN compromessi che non erano protetti con l'autenticazione a più fattori per accedere ai sistemi critici nelle reti statali ucraine.

Una volta ottenuto l'accesso alla rete, hanno utilizzato script che cancellavano i file su macchine Windows e Linux utilizzando il programma di archiviazione WinRar.

Su Windows, lo script BAT utilizzato da Sandworm è "RoarBat", che cerca nei dischi e nelle directory specifiche tipi di file come doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin e dat e li archivia utilizzando il programma WinRAR.

Tuttavia, quando viene eseguito WinRar, gli autori delle minacce utilizzano l'opzione della riga di comando "-df", che elimina automaticamente i file non appena vengono archiviati. Gli archivi stessi sono stati poi cancellati, cancellando di fatto i dati presenti sul dispositivo.

CERT-UA afferma che RoarBAT viene eseguito tramite un'attività pianificata creata e distribuita centralmente ai dispositivi nel dominio Windows utilizzando criteri di gruppo.

Sui sistemi Linux, gli autori delle minacce hanno invece utilizzato uno script Bash, che utilizzava l'utilità "dd" per sovrascrivere i tipi di file target con zero byte, cancellandone il contenuto. A causa di questa sostituzione dei dati, il ripristino dei file "svuotati" utilizzando lo strumento dd è improbabile, se non del tutto impossibile.

Poiché sia ​​il comando "dd" che WinRar sono programmi legittimi, gli autori delle minacce probabilmente li hanno utilizzati per aggirare il rilevamento da parte del software di sicurezza.

Il CERT-UA afferma che l'incidente è simile a un altro attacco distruttivo che colpì l'agenzia di stampa statale ucraina "Ukrinform" nel gennaio 2023, anch'esso attribuito a Sandworm.

"Il metodo di attuazione del piano dannoso, gli indirizzi IP dei soggetti che accedono, nonché il fatto di utilizzare una versione modificata di RoarBat testimoniano la somiglianza con l'attacco informatico a Ukrinform, le cui informazioni sono state pubblicate nel canale Telegram " CyberArmyofRussia_Reborn" il 17 gennaio 2023." si legge nell'avviso CERT-UA.

CERT-UA raccomanda a tutte le organizzazioni critiche del Paese di ridurre la propria superficie di attacco, correggere i difetti, disabilitare i servizi non necessari, limitare l'accesso alle interfacce di gestione e monitorare il traffico e i registri di rete.

Come sempre, gli account VPN che consentono l’accesso alle reti aziendali dovrebbero essere protetti con l’autenticazione a più fattori.

Google: l'Ucraina è stata colpita dal 60% degli attacchi di phishing russi nel 2023

La nuova mappa CS:GO aggira la censura russa sulle notizie di guerra in Ucraina

Gli hacker utilizzano false guide "Windows Update" per prendere di mira il governo ucraino

L'agenzia informatica britannica mette in guardia contro una nuova "classe" di hacker russi

Ucraino arrestato per aver venduto ai russi i dati di 300 milioni di persone