Des pirates informatiques russes utilisent WinRAR pour effacer les données de l'agence d'État ukrainienne

Le groupe de piratage russe "Sandworm" a été lié à une attaque contre des réseaux d'État ukrainiens où WinRar a été utilisé pour détruire des données sur des appareils gouvernementaux.

Dans un nouvel avis, l'équipe d'intervention d'urgence informatique du gouvernement ukrainien (CERT-UA) indique que les pirates russes ont utilisé des comptes VPN compromis qui n'étaient pas protégés par une authentification multifacteur pour accéder aux systèmes critiques des réseaux d'État ukrainiens.

Une fois qu'ils ont eu accès au réseau, ils ont utilisé des scripts qui effaçaient les fichiers sur les machines Windows et Linux à l'aide du programme d'archivage WinRar.

Sous Windows, le script BAT utilisé par Sandworm est "RoarBat", qui recherche sur des disques et des répertoires spécifiques des types de fichiers tels que doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin et dat, et les archive à l'aide du programme WinRAR.

Cependant, lorsque WinRar est exécuté, les pirates utilisent l'option de ligne de commande "-df", qui supprime automatiquement les fichiers au fur et à mesure qu'ils sont archivés. Les archives elles-mêmes ont ensuite été supprimées, supprimant effectivement les données sur l'appareil.

CERT-UA indique que RoarBAT est exécuté via une tâche planifiée créée et distribuée de manière centralisée aux appareils du domaine Windows à l'aide de stratégies de groupe.

Sur les systèmes Linux, les acteurs de la menace ont utilisé un script Bash à la place, qui a utilisé l'utilitaire "dd" pour écraser les types de fichiers cibles avec zéro octet, effaçant leur contenu. En raison de ce remplacement de données, la récupération des fichiers "vidés" à l'aide de l'outil dd est peu probable, voire totalement impossible.

Comme la commande « dd » et WinRar sont des programmes légitimes, les pirates les ont probablement utilisés pour contourner la détection par les logiciels de sécurité.

Le CERT-UA affirme que l'incident est similaire à une autre attaque destructrice qui a frappé l'agence de presse d'État ukrainienne "Ukrinform" en janvier 2023, également attribuée à Sandworm.

"La méthode de mise en œuvre du plan malveillant, les adresses IP des sujets d'accès, ainsi que le fait d'utiliser une version modifiée de RoarBat témoignent de la similitude avec la cyberattaque sur Ukrinform, dont les informations ont été publiées dans la chaîne Telegram " CyberArmyofRussia_Reborn" le 17 janvier 2023." lit l'avis CERT-UA.

Le CERT-UA recommande à toutes les organisations critiques du pays de réduire leur surface d'attaque, de corriger les failles, de désactiver les services inutiles, de limiter l'accès aux interfaces de gestion et de surveiller leur trafic réseau et leurs journaux.

Comme toujours, les comptes VPN qui permettent l'accès aux réseaux d'entreprise doivent être protégés par une authentification multifacteur.

Google : l'Ukraine ciblée par 60 % des attaques de phishing russes en 2023

La nouvelle carte CS:GO contourne la censure russe des informations sur la guerre en Ukraine

Les pirates utilisent de faux guides "Windows Update" pour cibler le gouvernement ukrainien

La cyber-agence britannique met en garde contre une nouvelle "classe" de pirates informatiques russes

Un Ukrainien arrêté pour avoir vendu les données de 300 millions de personnes à des Russes