CERT-UA во исполнение Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" принимаются организационно-технические меры по предотвращению, выявлению и реагированию на киберинциденты и кибератаки и устранению их последствий.
По факту получения информации о вмешательстве в работу информационно-коммуникационной системы (ИКС) одной из государственных организаций Украины инициированы мероприятия по исследованию кибератаки. Выяснено, что работоспособность электронно-вычислительных машин (серверного оборудования, автоматизированных рабочих мест пользователей, систем хранения данных) была нарушена в результате деструктивного воздействия, осуществленного с применением соответствующего программного обеспечения.
В частности, для вывода из строя ЭВМ, функционирующих под управлением операционной системы (ОС) Windows, применен RoarBat - BAT-скрипт, осуществляющий рекурсивный поиск файлов (на дисках и в конкретных каталогах) по определенному перечню расширений (.doc, .docx, .rtf, .txt, .xls, . xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s и .sys, .dll, .exe, .bin, . dat) с целью их дальнейшего архивирования с помощью легитимной программы WinRAR с опцией "-df", которая предусматривает удаление исходного файла, а также дальнейшее удаление созданных архивов. Запуск упомянутого скрипта осуществлен с помощью запланированного задания, которое, по предварительной информации, было создано и централизованно распространено средствами групповой политики (GPO).
Вывод из строя ЭВМ под управлением ОС Linux осуществлен с помощью BASH-скрипта, который, среди прочего, обеспечивал использованием штатной утилиты "dd" для перезаписи файлов нулевыми байтами.
Доступ к ИКС объекта атаки предположительно получен путем подключения к VPN с применением скомпрометированных аутентификационных данных.
Способ реализации злонамеренного замысла, IP-адреса субъектов доступа, а также факт использования модифицированной версии RoarBat свидетельствуют о сходстве с кибератакой на Укринформ, информация о которой была опубликована в телеграм-канале "CyberArmyofRussia_Reborn" 17.01.2023.
Таким образом, несмотря на освещение факта кибератаки с помощью другого телеграмм-канала, описанную активность с умеренным уровнем уверенности CERT-UA ассоциирует с деятельностью группировки Sandworm.
Успешной реализации атаки способствовали отсутствие многофакторной аутентификации при осуществлении удаленных подключений к VPN, отсутствие сегментации сети и фильтрации входящих, исходящих и межсегментных информационных потоков.
Indicators of Compromise
IPv4
- 188.72.101.3
- 188.72.101.4
- 194.28.172.172
- 194.28.172.81
MD5
- 4e75f4c7bcc4db8ff51cee9b192488d6
- 6b30bd1ff03098dcf78b938965333f6e
- c0a7da9ba353c272a694c2f215b29a63
SHA256
- 27ff9d3f925f636dcdc0993a2caaec0fa6e05c3ab22700f055353a839b49ab38
- 76f06d84d24d080201afee5095e4c9a595f7f2944d9911d17870653bbfefefe8
- cb3cc656bb0d0eb8ebea98d3ef1779fb0c4eadcce43ddb72547d9411bcd858bc