Agenzie governative ucraine sono state colpite da presunti hacker russi, che hanno cancellato documenti e altri dati. Secondo un comunicato del CERT-UA (Computer Emergency Response Team) del governo ucraino, individuato da Bleeping Computer, gli aggressori hanno utilizzato credenziali compromesse di VPN governative per eseguire lo script RoarBAT sui computer dell’ente.
L’uso dello script RoarBAT e WinRAR
RoarBAT è un file batch che sfrutta l’applicazione legittima WinRAR per cercare e archiviare i file, cancellarli e successivamente eliminare l’archivio creato. Anche i sistemi Linux non sono immuni e possono essere infettati in modo simile utilizzando uno script BASH e l’utilità standard dd.
Il gruppo di hacker Sandworm sospettato
Gli hacker coinvolti sono fortemente sospettati di appartenere al gruppo russo Sandworm. Il successo dell’infiltrazione è probabilmente dovuto alla capacità dei membri di Sandworm di accedere ai sistemi governativi ucraini utilizzando VPN poco protette. Nel bollettino, CERT-UA ricorda agli utenti di abilitare l’autenticazione multi-fattore (MFA) su tutti gli account utilizzati per accedere ai dati.
Il funzionamento dello script RoarBAT
Gli hacker sembrano aver utilizzato lo script RoarBAT, o una versione modificata dello stesso, per compiere le loro azioni. Lo script cerca file sulle macchine bersaglio, selezionando file con estensioni come .doc, .docx, .rtf, .txt e altre, e li invia all’app WinRAR per l’archiviazione con l’opzione “-df”. Questo comando elimina i file di origine dopo che sono stati archiviati. Successivamente, lo script RoarBAT elimina l’archivio finale.
L’ingegnosità dell’attacco e similitudini con precedenti azioni
L’uso di questo file batch è astuto a causa dell’onnipresenza dello strumento di archiviazione WinRAR, un’applicazione Windows legittima e ben nota da decenni. Il CERT-UA afferma che gli attori delle minacce eseguono il loro script tramite un’attività pianificata, creata e distribuita centralmente ai dispositivi nel dominio Windows tramite oggetti di criterio di gruppo (GPO). L’attacco descritto presenta somiglianze con la cancellazione di file avvenuta quest’anno presso l’agenzia di stampa ucraina “Ukrinform”, anch’essa attribuita a Sandworm.
