Руски хакери користат WinRAR за бришење на податоци од украински државни агенции

Avatar img-thumbnail img-circle

во Вести

Украинските власти ги обвинуваат руски хакери за напади во кои се бришат податоци од компјутерите на државни агенции. За нападите е обвинета групата „Sandworm“ која е дел од руското воено разузнавање. Руските хакери успеале да дојдат до VPN профили кои не биле заштитени со дополнителна авторизација и со тоа се здобиле со пристап до критични украински системи, пренесе Bleeping Computer.

Откако имале пристап, користеле скрипти за да ги избришат фајловите. Хакерите за Windows оперативниот систем користеле RoarBAT скрипта која на дисковите пребарувала екстензии за документи. Помеѓу екстензиите кои се цел на нападите се: .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s and .sys, .dll, .exe, .bin, .dat. Потоа со помош на WinRAR и „-df“ опцијата ги компресирале фајловите. Со командата „-df“ оригиналните фајлови автоматски се бришат по креирањето на архивата. На крај откако сѐ е избришано, RoarBAT ги брише и архивите.

На Linux напаѓачите користеле Bash скрипта со „dd“-функционалност која ги пребришува фајловите со 0-бајт. Поради пребришувањето на податоците, враќањето на оригиналната содржина е речиси невозможно. Украинскиот Компјутерски тим за одговор при итни случаи (CERT-UA) вели дека нападот е сличен со нападот врз државната новинска агенција „Ukrinform“ на почетокот на годината.

„Методот на имплементација на малициозниот план, IP-адресите за пристап, како и фактот дека користат модифицирана верзија на RoarBAT покажува дека има сличности со сајбер нападите врз Ukrinform“

Лажни Windows надградби за напад на украински државни агенции

Користењето на WinRAR и DD се одлични показатели за тоа како хакерите можат да злоупотребат легитимен и постоечки софтвер за своите цели. Групата Fancy Bear која е поддржана од Русија ги напаѓа украинските институции со лажни надградби на Windows. Поточно, станува збор за фишинг напади со кои до жртвите се испраќаат инструкции за надградба на Windows за поголема безбедност.

Напаѓачите креирале имејл адреси на outlook.com кои делуваат легитимно. Адресите имаат вистински имиња на вработени, до кои хакерите дошле во некоја претходна фаза од нападот. За жал ако жртвата го послуша советот ќе добие симулација на надградба, а во позадина ќе биде отворен друг Power Shell прозорец кој презема малициозен софтвер.

Пораки испратени до целте на нападите (CERT-UA)

Малициозниот софтвер презема податоци за активните процеси (tasklist) и податоци за конфигурацијата на компјутерот и оперативниот систем (systeminfo). Потоа преку HTTP повик овие податоци се испраќаат до Mocky API.

Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!

basic

членство

42 ден./мес

зачлени се

1337

членство

125 ден./мес

зачлени се
* плаќањето е на годишно ниво

Доколку веќе имаш премиум членство, најави се тука.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments