«Урядова команда реагування на комп’ютерні надзвичайні події України» CERT-UA досліджувала кібератаку на інформаційно-комунікаційну систему (ІКС) однієї з державних організацій. З’ясувалося, що працездатність серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних була порушена внаслідок деструктивної дії шкідливого програмного забезпечення.
Зокрема, для виведення з ладу комп’ютерів під керуванням операційної системи Windows зловмисники застосували RoarBat — BAT-скрипт, що здійснює рекурсивний пошук файлів (на дисках і в конкретних каталогах) за списком розширень (.doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php , .vbk , .vib, .vrb, .p7s і .sys, .dll, .exe, .bin, .dat) з метою їх подальшого архівування за допомогою легітимної програми WinRAR з опцією «-df», що передбачає видалення вихідного файлу , а також подальше видалення створених архівів. Запуск згаданого скрипту здійснено за допомогою запланованого завдання, яке, за попередньою інформацією, було створено та централізовано поширено засобами групової політики (GPO).
У свою чергу, виведення з ладу серверів під управлінням ОС Linux було здійснено з використанням BASH-скрипту, який, серед іншого, забезпечував використанням штатної утиліти «dd» для перезапису файлів нульовими байтами.
Доступ до ІКС об’єкта атаки, ймовірно, отриманий шляхом підключення до VPN із застосуванням скомпрометованих аутентифікаційних даних.
Спосіб реалізації зловмисного задуму, IP-адреси суб’єктів доступу, а також факт використання модифікованої версії RoarBat свідчать про схожість із кібератакою на «Укрінформ». Тому описана активність CERT-UA асоціює із діяльністю угруповання Sandworm.
