Russische Hacker nutzen WinRAR, um die Daten der ukrainischen Staatsbehörde zu löschen

Die russische Hackergruppe „Sandworm“ wurde mit einem Angriff auf ukrainische Staatsnetzwerke in Verbindung gebracht, bei dem WinRar zur Zerstörung von Daten auf Regierungsgeräten eingesetzt wurde.

In einer neuen Empfehlung sagt das Computer Emergency Response Team der ukrainischen Regierung (CERT-UA), dass die russischen Hacker kompromittierte VPN-Konten verwendet haben, die nicht durch Multi-Faktor-Authentifizierung geschützt waren, um auf kritische Systeme in ukrainischen Staatsnetzwerken zuzugreifen.

Sobald sie Zugriff auf das Netzwerk hatten, setzten sie Skripte ein, die mithilfe des Archivierungsprogramms WinRar Dateien auf Windows- und Linux-Rechnern löschten.

Unter Windows ist das von Sandworm verwendete BAT-Skript „RoarBat“, das Festplatten und bestimmte Verzeichnisse nach Dateitypen wie doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg durchsucht. jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin und dat und archiviert sie mit dem Programm WinRAR.

Wenn WinRar jedoch ausgeführt wird, verwenden die Bedrohungsakteure die Befehlszeilenoption „-df“, die Dateien beim Archivieren automatisch löscht. Anschließend wurden die Archive selbst gelöscht, wodurch die Daten auf dem Gerät effektiv gelöscht wurden.

Laut CERT-UA wird RoarBAT über eine geplante Aufgabe ausgeführt, die mithilfe von Gruppenrichtlinien erstellt und zentral an Geräte in der Windows-Domäne verteilt wird.

Auf Linux-Systemen verwendeten die Bedrohungsakteure stattdessen ein Bash-Skript, das das Dienstprogramm „dd“ nutzte, um Zieldateitypen mit null Bytes zu überschreiben und deren Inhalt zu löschen. Aufgrund dieser Datenersetzung ist eine Wiederherstellung von Dateien, die mit dem dd-Tool „geleert“ wurden, unwahrscheinlich, wenn nicht sogar völlig unmöglich.

Da es sich sowohl beim „dd“-Befehl als auch bei WinRar um legitime Programme handelt, nutzten die Bedrohungsakteure sie wahrscheinlich, um die Erkennung durch Sicherheitssoftware zu umgehen.

Laut CERT-UA ähnelt der Vorfall einem weiteren zerstörerischen Angriff, der im Januar 2023 die staatliche ukrainische Nachrichtenagentur „Ukrinform“ traf und ebenfalls Sandworm zugeschrieben wird.

„Die Methode zur Umsetzung des Schadplans, die IP-Adressen der Zugriffssubjekte sowie die Tatsache, dass eine modifizierte Version von RoarBat verwendet wurde, zeugen von der Ähnlichkeit mit dem Cyberangriff auf Ukrinform, über den Informationen im Telegram-Kanal veröffentlicht wurden.“ CyberArmyofRussia_Reborn“ am 17. Januar 2023.“ liest die CERT-UA-Beratung.

CERT-UA empfiehlt allen wichtigen Organisationen im Land, ihre Angriffsfläche zu reduzieren, Fehler zu beheben, nicht benötigte Dienste zu deaktivieren, den Zugriff auf Verwaltungsschnittstellen einzuschränken und ihren Netzwerkverkehr und ihre Protokolle zu überwachen.

Wie immer sollten VPN-Konten, die den Zugriff auf Unternehmensnetzwerke ermöglichen, durch eine Multi-Faktor-Authentifizierung geschützt werden.

Google: Die Ukraine war im Jahr 2023 das Ziel von 60 % der russischen Phishing-Angriffe

Neue CS:GO-Karte umgeht Russlands Zensur von Kriegsnachrichten aus der Ukraine

Hacker nutzen gefälschte „Windows Update“-Anleitungen, um die ukrainische Regierung ins Visier zu nehmen

Die britische Cyber-Agentur warnt vor einer neuen „Klasse“ russischer Hacker

Ukrainer verhaftet, weil er Daten von 300 Millionen Menschen an Russen verkauft hat