Agências governamentais na Ucrânia foram interrompidas por supostos hackers russos, apagando documentos e outros dados. De acordo com um comunicado de imprensa pela equipe de resposta a emergências de computador do governo ucraniano (CERT-UA) e detectado por Computador apitandologins de VPN do governo comprometidos foram usados para executar o script RoarBAT em PCs do governo.
RoarBAT é um arquivo em lote que aproveita o aplicativo WinRAR legítimo para pesquisar e arquivar arquivos, excluí-los e, em seguida, excluir o arquivo. Os sistemas Linux não são imunes e podem ser danificados da mesma forma usando um script BASH e o utilitário dd padrão.
Suspeita-se fortemente que os hackers envolvidos sejam do grupo Sandworm, com sede na Rússia. O sucesso da infiltração provavelmente resultou do fato de os membros do Sandworm conseguirem fazer login nos sistemas do governo da Ucrânia usando VPNs que não eram muito bem protegidas. No boletim de notícias, o CERT-UA lembra aos usuários que habilitem a autenticação multifator (MFA) em todas as contas que usam para acessar dados.
Os hackers parecem ter usado o script RoarBAT, ou uma versão modificada dele, para fazer seus atos covardes. Este script procura arquivos na(s) máquina(s) de destino. Ele seleciona arquivos com extensões, incluindo .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip , .rar, .7z, .mp4, .sql , .php, .vbk, .vib, .vrb, .p7s e .sys, .dll, .exe, .bin, .dat e os envia para o aplicativo WinRAR para arquivamento com o opção “-df”. O uso dessa opção exclui os arquivos de origem depois que eles foram arquivados. Posteriormente, o script RoarBAT continua a excluir o arquivo final.
O uso desse arquivo em lote é astuto devido à onipresença da ferramenta de arquivamento WinRAR, um conhecido aplicativo legítimo do Windows que existe há décadas. O CERT-UA diz que os agentes de ameaças executam seu script por meio de uma tarefa agendada, criada e distribuída centralmente para dispositivos no Domínio Windows por meio de Objetos de Política de Grupo (GPO).
Os dados em sistemas Linux podem ser apagados de forma semelhante usando um script BASH, que utiliza uma ferramenta de linha de comando padrão para sobrescrever arquivos de destino com zero bytes.
O CERT-UA da Ucrânia observa que o ataque descrito acima é semelhante em alguns aspectos ao ataque destrutivo de limpeza de arquivos infligido à agência de notícias estatal ucraniana “Ukrinform” no início deste ano. Esse ataque também foi atribuído a Sandworm.