Украинските власти ги обвинуваат руски хакери за напади во кои се бришат податоци од компјутерите на државни агенции. За нападите е обвинета групата „Sandworm“ која е дел од руското воено разузнавање. Руските хакери успеале да дојдат до VPN профили кои не биле заштитени со дополнителна авторизација и со тоа се здобиле со пристап до критични украински системи, пренесе Bleeping Computer.
Откако имале пристап, користеле скрипти за да ги избришат фајловите. Хакерите за Windows оперативниот систем користеле RoarBAT скрипта која на дисковите пребарувала екстензии за документи. Помеѓу екстензиите кои се цел на нападите се: .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s and .sys, .dll, .exe, .bin, .dat. Потоа со помош на WinRAR и „-df“ опцијата ги компресирале фајловите. Со командата „-df“ оригиналните фајлови автоматски се бришат по креирањето на архивата. На крај откако сѐ е избришано, RoarBAT ги брише и архивите.
На Linux напаѓачите користеле Bash скрипта со „dd“-функционалност која ги пребришува фајловите со 0-бајт. Поради пребришувањето на податоците, враќањето на оригиналната содржина е речиси невозможно. Украинскиот Компјутерски тим за одговор при итни случаи (CERT-UA) вели дека нападот е сличен со нападот врз државната новинска агенција „Ukrinform“ на почетокот на годината.
„Методот на имплементација на малициозниот план, IP-адресите за пристап, како и фактот дека користат модифицирана верзија на RoarBAT покажува дека има сличности со сајбер нападите врз Ukrinform“
Лажни Windows надградби за напад на украински државни агенции
Користењето на WinRAR и DD се одлични показатели за тоа како хакерите можат да злоупотребат легитимен и постоечки софтвер за своите цели. Групата Fancy Bear која е поддржана од Русија ги напаѓа украинските институции со лажни надградби на Windows. Поточно, станува збор за фишинг напади со кои до жртвите се испраќаат инструкции за надградба на Windows за поголема безбедност.
Напаѓачите креирале имејл адреси на outlook.com кои делуваат легитимно. Адресите имаат вистински имиња на вработени, до кои хакерите дошле во некоја претходна фаза од нападот. За жал ако жртвата го послуша советот ќе добие симулација на надградба, а во позадина ќе биде отворен друг Power Shell прозорец кој презема малициозен софтвер.
Малициозниот софтвер презема податоци за активните процеси (tasklist) и податоци за конфигурацијата на компјутерот и оперативниот систем (systeminfo). Потоа преку HTTP повик овие податоци се испраќаат до Mocky API.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
