Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA дослідила кібератаку, імовірно асоційовану з угрупуванням Sandworm.
Для виведення з ладу серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних зловмисники використали у тому числі і легітимне програмне забезпечення.
Отримавши несанкціонований доступ до інформаційно-комунікаційної системи об'єкту атаки, для виведення з ладу ЕОМ, що функціонують під управлінням операційної системи (ОС) Windows, застосовано RoarBat - BAT-скрипт. Скрипт здійснює рекурсивний пошук файлів за визначеним переліком розширень для їх подальшого архівування за допомогою легітимної програми WinRAR з опцією "-df". Ця опція передбачає видалення вихідного файлу та подальше видалення створених архівів. Запуск згаданого скрипта здійснено за допомогою запланованого завдання, яке, за попередньою інформацією, було створено та централізовано розповсюджено засобами групової політики (GPO).Виведення з ладу ЕОМ під управленням ОС Linux здійснено за допомогою BASH-скрипта, що, серед іншого, забезпечував використанням штатної утиліти "dd" для перезапису файлів нульовими байтами.
Спосіб реалізації зловмисного задуму, IP-адреси суб'єктів доступу та використання модифікованої версії RoarBat свідчать про схожість із кібератакою на Укрінформ, інформація про яку була опублікована в одному з російських телеграм-каналів т. зв. "хактивістів" 17 січня цього року. Описану активність із помірним рівнем впевненості CERT-UA асоціює з діяльністю угрупування Sandworm, проте для її точкового відстежування створено відповідний ідентифікатор UAC-0165.
CERT-UA зазначає, що реалізації зловмисного задуму в цій та подібних атаках сприяють відсутність багатофакторної автентифікації при здійсненні віддалених підключень до VPN, а також відсутність сегментації мережі та фільтрації вхідних, вихідних та міжсегментних інформаційних потоків.
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності та вживати невідкладних заходів зі зменшення "поверхні" атаки.