CERT-UA (Ukrayna Hükümeti Bilgisayar Acil Müdahale Ekibi) geçtiğimiz günlerde Ukrayna devlet ağlarının, Rusya’dan gelen kötü şöhretli ‘Sandworm’ bilgisayar korsanlığı grubuna atfedilen bir siber saldırıya uğradığını bildirdi.
Saldırganların, çeşitli hükümet cihazlarındaki kritik verileri yok etmek için WinRar kullandığı bildirildi.
Rus bilgisayar korsanları, çok faktörlü kimlik doğrulama önlemlerine karşı yeterli korumaya sahip olmayan güvenliği ihlal edilmiş VPN hesaplarını kullanarak Ukrayna devlet ağlarındaki kritik sistemlere başarıyla sızdı.
Failler, hedeflenen ağa yetkisiz erişim sağladıktan sonra, Windows ve Linux sistemlerindeki kritik verileri silen özel komut dosyaları kullandı.
Seçtikleri yöntem, yıkıcı saldırıları gerçekleştirmek için kullanılan WinRar arşivleme programıydı.
Hedeflenen Dosya Türleri
Sandworm bilgisayar korsanlığı grubu, Windows cihazlarında kötü amaçlı işlemler gerçekleştirmek için ‘RoarBat’ adlı bir BAT komut dosyası kullandı.
Bu komut dosyası, aşağıdakiler gibi belirli dosya türlerini arayarak çeşitli diskleri ve hedeflenen dizinleri taramak için tasarlanmıştır: –
doc, docx, rtf, txt, xls, xlsx, ppt, pptx, vsd, vsdx, pdf, png, jpeg, jpg, zip, rar, 7z, mp4, SQL, PHP, vbk, vib, vrb, p7s, sys, DLL, exe, bin, dat
Saldırganlar, WinRar’ı kullanırken “-df” komut satırı seçeneğini kullanarak belirli bir taktik uyguladılar.
Bu özellik, dosyaları arşivlenirken otomatik olarak silerek faillerin kritik verileri sistematik olarak kolaylıkla yok etmelerini sağlar.
Arşiv sürecinin ardından failler daha da ileri giderek arşivleri kendileri sildi.
CERT-UA’ya göre RoarBAT betiği, merkezi olarak oluşturulan ve Windows etki alanındaki tüm cihazlara dağıtılan zamanlanmış bir görev aracılığıyla yürütüldü.
Bu dağıtım, tüm ağda sorunsuz görev uygulamasına izin veren grup ilkeleri kullanılarak kolaylaştırıldı.
Saldırganlar, Windows sistemlerinde kullanılan BAT betiği yerine bir Bash betiği kullanarak Linux makinelerini hedeflerken farklı bir yaklaşım seçtiler.
Bu komut dosyası, sıfır bayt ile belirli dosya türlerinin üzerine yazmak için “dd” yardımcı programını kullandı ve verileri tamamen geri alınamaz hale getirdi.
dd aracı tarafından gerçekleştirilen veri değişiminin doğası göz önüne alındığında, bu yöntem kullanılarak “boşaltılmış” dosyaların kurtarılma olasılığı son derece düşüktür.
Etkilenen dosyaların içeriğini geri yüklemek bile imkansız olabilir. ‘dd’ komutu ve WinRar gibi meşru programları kullanmak, muhtemelen tehdit aktörleri tarafından AV araçları tarafından tespit edilmekten kaçınmak için stratejik bir hareketti.
CERT-UA’ya göre, Ukrayna devlet ağlarına yönelik son siber saldırı, Ocak 2023’te meydana gelen benzer bir olayı andırıyor.
Son olayların ışığında CERT-UA, ülke çapındaki kritik kuruluşların benzer siber saldırı riskini azaltmasına yardımcı olacak tavsiyeler yayınladı.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin