Российские хакеры используют Windows Past для запуска кибератак – Global Village Space

Российские хакеры, спонсируемые государством, успешно стерли данные с устройств, принадлежащих украинским государственным сетям, из-за плохой защиты от VPN и вредоносных программ, использующих популярный архиватор WinRAR. Группа реагирования на компьютерные чрезвычайные ситуации правительства Украины (CERT-UA) недавно заявила, что российскому злоумышленнику, предположительно из группы Sandworm, удалось скомпрометировать украинские государственные сети, используя скомпрометированные учетные записи VPN, не использующие многофакторную аутентификацию (MFA). доказывать.

Получив доступ, хакер развертывает вредоносное ПО под названием «RoarBat», которое в основном сканирует пораженные диски. Вредоносная программа ищет на диске файлы с различными расширениями, включая .doc, .txt, .jpg и .xlsx. Затем он вызывает WinRAR для архивации всех этих файлов и добавляет параметр командной строки «-df», который удаляет все архивируемые файлы. После завершения работы вредоносное ПО удаляет сам архив, по сути стирая все данные на диске одним махом.

Агентство также заявило, что злоумышленники также нацелены на машины Linux, заявив, что для этой операционной системы они используют сценарий Bash и утилиту «dd» для перезаписи целевых файлов, которые не содержат байтов. «Из-за перезаписи данных восстановление «дампа» файлов с помощью инструмента dd маловероятно, если вообще возможно», — говорит BleepingComputer.

Это не первая подобная атака на украинские государственные сети. В январе 2023 года государственное информационное агентство страны Укринформ стало мишенью песчаного червя. CERT-UA утверждает, что «метод реализации вредоносного плана, IP-адреса лиц, осуществляющих доступ, а также факт использования модифицированной версии RoarBat свидетельствуют о сходстве с кибератакой Укринформа, информация о которой была опубликована в Телеграм-канал «КиберАрмияРоссии_Возрождение» от 17 января 2023 года».

Для защиты от таких атак необходимо обновлять аппаратное и программное обеспечение, по возможности включать многофакторную аутентификацию и максимально ограничивать доступ к интерфейсам управления. Эти меры помогут обеспечить лучшую защиту государственных сетей от угроз со стороны хакеров, спонсируемых государством.