Rus ‘Sandworm’ hack grubu, Ukrayna devlet ağlarına yapılan ve devlet cihazlarındaki verileri yok etmek için WinRar’ın kullanıldığı bir saldırıyla ilişkilendirildi.
Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi yeni bir tavsiye kararında, Rus bilgisayar korsanlarının Ukrayna devlet ağlarındaki kritik sistemlere erişmek için çok faktörlü kimlik doğrulama ile korunmayan tehlikeye atılmış VPN hesaplarını kullandığını söylüyor.
Ağa erişim sağladıktan sonra, WinRar arşivleme programını kullanarak Windows ve Linux makinelerindeki dosyaları silen komut dosyaları kullandılar.
Windows’ta, Sandworm tarafından kullanılan BAT betiği ‘RoarBat’ olup disklerde ve belirli dizinlerde doc, doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin ve dat dosyalarını WinRAR programını kullanarak arşivler.
Ancak WinRar çalıştırıldığında, tehdit aktörleri dosyaları arşivlendikçe otomatik olarak silen “-df” komut satırı seçeneğini kullanmaktadır. Daha sonra arşivlerin kendileri silinerek cihazdaki veriler etkin bir şekilde silinmiştir.
CERT-UA, RoarBAT’ın grup ilkeleri kullanılarak oluşturulan ve Windows etki alanındaki cihazlara merkezi olarak dağıtılan zamanlanmış bir görev aracılığıyla çalıştırıldığını söylüyor.
Linux sistemlerinde, tehdit aktörleri bunun yerine “dd” yardımcı programını kullanarak hedef dosya türlerinin üzerine sıfır bayt yazıp içeriklerini silen bir Bash betiği kullanmışlardır. Bu veri değişimi nedeniyle, dd aracı kullanılarak “boşaltılan” dosyaların kurtarılması tamamen imkansız olmasa da pek olası değildir.
Hem ‘dd’ komutu hem de WinRar yasal programlar olduğundan, tehdit aktörleri muhtemelen güvenlik yazılımları tarafından tespit edilmeyi atlamak için bunları kullandılar.
olayın Ocak 2023’te Ukrayna devlet haber ajansı “Ukrinform “u vuran ve yine Sandworm’a atfedilen bir başka yıkıcı saldırıya benzediğini söylüyor.
CERT-UA, ülkedeki tüm kritik kuruluşlara saldırı yüzeylerini azaltmalarını, açıkları kapatmalarını, gereksiz hizmetleri devre dışı bırakmalarını, yönetim arayüzlerine erişimi sınırlandırmalarını ve ağ trafiği ile günlüklerini izlemelerini önermektedir.
Her zaman olduğu gibi, kurumsal ağlara erişim sağlayan VPN hesapları çok faktörlü kimlik doğrulama ile korunmalıdır.
kaynak: bleepingcomputer