Grup peretasan ‘Sandworm’ Rusia telah dikaitkan dengan serangan terhadap jaringan negara Ukraina di mana WinRar digunakan untuk menghancurkan data pada perangkat pemerintah.
Dalam penasehat baru, Tim Tanggap Darurat Komputer Pemerintah Ukraina (CERT-UA) mengatakan peretas Rusia menggunakan akun VPN yang dikompromikan yang tidak dilindungi dengan otentikasi multi-faktor untuk mengakses sistem penting di jaringan negara Ukraina.
Begitu mereka memperoleh akses ke jaringan, mereka menggunakan skrip yang menghapus file di mesin Windows dan Linux menggunakan program pengarsipan WinRar.
Di Windows, skrip BAT yang digunakan oleh Sandworm adalah ‘RoarBat,’ yang mencari disk dan direktori khusus untuk tipe file seperti doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, sql, php, vbk, vib, vrb, p7s, sys, dll, exe, bin, dan dat, dan mengarsipkannya menggunakan program WinRAR.
Namun, saat WinRar dijalankan, pelaku ancaman menggunakan opsi baris perintah “-df”, yang secara otomatis menghapus file saat diarsipkan. Arsip itu sendiri kemudian dihapus, secara efektif menghapus data di perangkat.
CERT-UA mengatakan RoarBAT dijalankan melalui tugas terjadwal yang dibuat dan didistribusikan secara terpusat ke perangkat di domain Windows menggunakan kebijakan grup
Pada sistem Linux, pelaku ancaman menggunakan skrip Bash, yang menggunakan utilitas “dd” untuk menimpa jenis file target dengan nol byte, menghapus isinya. Karena penggantian data ini, pemulihan untuk file yang “dikosongkan” menggunakan alat dd tidak mungkin dilakukan, jika tidak sepenuhnya mustahil.
Karena perintah ‘dd’ dan WinRar adalah program yang sah, pelaku ancaman kemungkinan besar menggunakannya untuk melewati deteksi oleh perangkat lunak keamanan.
CERT-UA mengatakan insiden itu mirip dengan serangan destruktif lainnya yang melanda kantor berita negara Ukraina “Ukrinform” pada Januari 2023juga dikaitkan dengan Sandworm.
“Metode penerapan rencana jahat, alamat IP dari subjek akses, serta fakta penggunaan versi RoarBat yang dimodifikasi bersaksi tentang kesamaan dengan serangan dunia maya di Ukrinform, informasi tentang yang dipublikasikan di saluran Telegram ” CyberArmyofRussia_Reborn” pada 17 Januari 2023.” membaca penasehat CERT-UA.
CERT-UA merekomendasikan agar semua organisasi penting di negara tersebut mengurangi permukaan serangan mereka, menambal kelemahan, menonaktifkan layanan yang tidak diperlukan, membatasi akses ke antarmuka manajemen, dan memantau lalu lintas dan log jaringan mereka.
Seperti biasa, akun VPN yang mengizinkan akses ke jaringan perusahaan harus dilindungi dengan autentikasi multifaktor.
