WinRAR è stato utilizzato per distruggere i dati sui dispositivi governativi ucraini. Ciò è quanto afferma il Computer Emergency Response Team (CERT-UA) in un nuovo avviso.
Per accedere ai sistemi critici nelle reti statali ucraine, sarebbero stati utilizzati account VPN compromessi e non protetti con l’autenticazione 2FA. Sarebbe stata attribuita al gruppo noto come “Sandworm” la matrice dell’attacco molto simile, secondo il CERT-UA, all’operazione “Ukrinform” del gennaio 2023, anch’essa attribuita a Sandworm.
Come avviene l’attacco sui sistemi target
Una volta ottenuto l’accesso alla rete, gli attaccanti utilizzerebbero degli script per cancellare i file su macchine Windows e Linux. Lo script BAT utilizzato da Sandworm per Windows sarebbe “RoarBat”. Eseguito tramite un’attività pianificata creata e distribuita tramite criteri di gruppo del dominio Windows target, lo script avvierebbe una ricerca sui dischi dei file con estensioni “doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin e dat” archiviandoli con WinRAR ed eliminandoli appena archiviati (tramite l’opzione di riga da comando “-df”). Per attaccare i sistemi Linux, invece, il gruppo russo utilizzerebbe uno script Bash, per avviare l’utility “dd” e sovrascrivere i tipi di file target con zero byte, cancellando di fatto il loro contenuto.
Raccomandazioni
Poiché sia il comando “dd” che WinRar sono programmi legittimi, gli attori delle minacce riuscirebbero ad aggirare il rilevamento da parte dei software di sicurezza. Il CERT-UA pertanto raccomanda alle organizzazioni di ridurre la propria superficie di attacco, sanare sempre le vulnerabilità, disabilitare i servizi non necessari, segmentare la rete e monitorare il traffico di rete oltre a proteggere con l’autenticazione 2FA gli account VPN che consentono l’accesso alle reti aziendali.
