Posté le mai 5, 2023 à 8:47
LE GROUPE DE HACKERS RUSSES SANDWORM UTILISE WINRAR POUR VOLER DES DONNÉES EN UKRAINE
Sandworm, un groupe de hackers basé en Russie, a été associé à une attaque contre les réseaux de l’État Ukrainien. Dans ces attaques, WinRAR est utilisé pour détruire les données présentes sur les appareils gouvernementaux. Le rapport sur cette attaque intervient alors que les acteurs de la menace basés en Russie poursuivent leurs activités hacktivistes contre leurs adversaires.
Le groupe de hackers Russes Sandworm vole des données en Ukraine
L’équipe d’intervention en cas d’urgence informatique du gouvernement Ukrainien (CERT-UA) a publié un nouvel avis. Dans cet avis, le CERT UA indique que des hackers russes utilisent des comptes VPN compromis qui ne sont pas protégés par une authentification multifactorielle pour obtenir un accès non autorisé aux systèmes critiques des réseaux d’État en Ukraine.
Une fois que le groupe de hackers a obtenu l’accès à un réseau d’État ukrainien, ils utilisent des scripts qui sont essuyés sur les fichiers disponibles sur les appareils Windows et Linux. Pour ce faire, ils utilisent le programme d’archivage WinRAR.
Sur les appareils Windows, le script BAT utilisé par le groupe de hackers Sandworm est connu sous le nom de RoarBat. RoarBat est utilisé pour effectuer des recherches sur les disques et dans certains répertoires. La recherche porte sur des types de fichiers tels que doc, docx, xls, png, jpg, jpeg, rtf, xls, ppt, xlsx, vsd, vsdx, zip, bin, php, vib, vbk, entre autres.
Après avoir recherché ces types de fichiers, les hackers les archivent avec le programme WinRAR. Après l’exécution de WinRAR, l’acteur de la menace utilise l’option de ligne de commande « -df » qui élimine automatiquement les fichiers au fur et à mesure qu’ils sont archivés sur la plateforme.
Les hackers suppriment par la suite ces archives, ce qui permet de se débarrasser efficacement des données présentes sur l’appareil cible. Selon le CERT-UA, RoarBAT est exécuté à l’aide d’une tâche planifiée créée et distribuée de manière centralisée aux appareils fonctionnant par l’intermédiaire du domaine Windows et des stratégies de groupe.
En ce qui concerne les systèmes Linux, les acteurs de la menace utilisent un script Cash. Ce script utilise l’utilitaire « dd » qui écrase les types de fichiers cibles en utilisant zéro octet, ce qui efface les données. En raison du remplacement des données, il n’est pas possible de récupérer les fichiers perdus à l’aide de l’outil dd.
Ce piratage peut être difficile à détecter car la commande « dd » et WinRAR sont des programmes légitimes. Les acteurs de la menace à l’origine de la violation utilisent probablement ces programmes pour éviter d’être détectés par les logiciels de sécurité. Cette technique permet aux hackers d’exister au sein d’un système informatique sans que l’utilisateur ne sache que son système a été compromis.
Selon le CERT-UA, cet incident de piratage est similaire à une autre attaque qui a ciblé l’agence de presse nationale Ukrainienne, Ukrinform, en janvier de cette année. Cette attaque était également liée au groupe de hackers Sandstorm.
L’avis publié par le CERT-UA indique en outre que « la méthode de mise en œuvre du plan malveillant, les adresses IP des sujets d’accès, ainsi que le fait d’utiliser une version modifiée de RoarBat témoignent de la similitude avec la cyberattaque contre Ukrinform, dont les informations ont été publiées sur le canal Telegram « CyberArmyofRussia_Reborn » le 17 janvier 2023″.
Le CERT-UA a également recommandé à toutes les organisations cruciales travaillant dans le pays de réduire leur surface d’attaque et de publier un correctif pour remédier aux vulnérabilités. L’agence a par ailleurs recommandé aux organisations concernées de désactiver les services inutiles et de limiter l’accès aux interfaces de gestion La surveillance du trafic et des journaux du réseau est aussi recommandée.
Les comptes VPN qui permettent d’accéder aux réseaux d’entreprise doivent en outre être protégés par une authentification multifactorielle. Ainsi, les hackers ne disposeront pas d’un point d’accès leur permettant de compromettre un système.
Des groupes de hackers Russes lancent des attaques
Les groupes de hackers Russes sont de plus en plus nombreux à lancer des attaques visant les pays occidentaux dans le contexte de l’invasion russe en cours. Ces groupes ont lancé plusieurs attaques au cours de l’année écoulée, dont la plupart sont des attaques par déni de service distribué (DdoS).
Le groupe de hackers KillNet s’est particulièrement illustré dans ce type d’exploits, en lançant des attaques DDoS visant les pays qui ont soutenu l’Ukraine et l’OTAN dans l’invasion en cours. Le groupe de hackers a le sens des médias et revendique la responsabilité des attaques qu’il a menées.
L’attaque la plus récente menée par un groupe de hackers pro-Russes a visé le parlement Suédois. L’attaque DDoS a mis hors service le site web du parlement suédois et a rendu certains services inaccessibles. Toutefois, le site a été rétabli depuis, même s’il est moins rapide qu’auparavant. Une attaque similaire a eu lieu l’année dernière lorsque des hackers pro-Russes ont pris pour cible le parlement Finlandais lors d’un exploit DDoS.