Les agences gouvernementales en Ukraine ont été perturbées par des pirates informatiques russes présumés, effaçant des documents et d’autres données. Selon un communiqué de presse de l’équipe d’intervention d’urgence informatique du gouvernement ukrainien (CERT-UA), et repéré par Bleeping Computer, des connexions VPN gouvernementales compromises ont été utilisées pour exécuter le script RoarBAT sur les PC du gouvernement.
RoarBAT est un fichier de commandes qui exploite l’application WinRAR légitime pour rechercher et archiver des fichiers, puis les supprimer, puis supprimer l’archive. Les systèmes Linux ne sont pas à l’abri et peuvent être également encrassés à l’aide d’un script BASH et de l’utilitaire dd standard.
Les pirates impliqués sont fortement soupçonnés d’appartenir au groupe russe Sandworm. Le succès de l’infiltration est probablement dû au fait que les membres de Sandworm ont pu se connecter aux systèmes gouvernementaux ukrainiens à l’aide de VPN qui n’étaient pas très bien sécurisés. Dans le bulletin d’information, le CERT-UA rappelle aux utilisateurs d’activer l’authentification multifacteur (MFA) sur tous les comptes qu’ils utilisent pour accéder aux données.
Les pirates semblent avoir utilisé le script RoarBAT, ou une version modifiée de celui-ci, pour accomplir leurs actes ignobles. Ce script recherche des fichiers sur la ou les machines ciblées. Il sélectionne les fichiers avec des extensions telles que .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip , .rar, .7z, .mp4, .sql , .php, .vbk, .vib, .vrb, .p7s et .sys, .dll, .exe, .bin, .dat et les envoie à l’application WinRAR pour archivage avec l’option « -df ». L’utilisation de ce commutateur supprime les fichiers source après leur archivage. Par la suite, le script RoarBAT supprime l’archive finale.
L’utilisation de ce fichier batch est rusée en raison de l’omniprésence de l’outil d’archivage WinRAR, une application Windows légitime bien connue qui existe depuis des décennies. Le CERT-UA indique que les acteurs de la menace exécutent leur script via une tâche planifiée, créée et distribuée de manière centralisée aux appareils du domaine Windows au moyen d’objets de stratégie de groupe (GPO).
Les données sur les systèmes Linux peuvent être effacées de la même manière à l’aide d’un script BASH, qui exploite un outil de ligne de commande standard pour écraser les fichiers ciblés avec zéro octet.
Le CERT-UA ukrainien note que l’attaque décrite ci-dessus est similaire à certains égards au saccage destructeur d’effacement de fichiers infligé à l’agence de presse d’État ukrainienne « Ukrinform » plus tôt cette année. Cette attaque a également été attribuée à Sandworm.