Украинските власти съобщават, че руски хакери са използвали инструмента за компресиране на файлове WinRAR, за да изтрият данни от компютри в няколко правителствени агенции.
Украинският правителствен екип за реагиране при компютърни инциденти (CERT-UA) твърди, че руски хакери, вероятно от небезизвестната група Sandworm, са се сдобили с компрометирани VPN акаунти, които на свой ред са осигурили достъп до официалните украински държавни мрежи.
Хакерите очевидно са използвали скрипта RoarBAT, който търси на целевата машина файлове с разширения, включващи .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, .zip, .rar, .7z и още няколко, преди да архивира файловете с WinRAR и да приложи опцията -df. Използването на тази опция автоматично изтрива изходните файлове след архивирането. След това скриптът RoarBAT изтрива архивираните файлове, което води до пълна загуба на данни.
Хакването е възможно благодарение на повсеместното разпространение на WinRAR на съвременните персонални компютри. Очевидно системите Linux не са защитени от атаката и могат да бъдат компрометирани с помощта на BASH скрипт и стандартната помощна програма dd.
Украинската служба CERT-UA твърди, че последната хакерска атака подозрително прилича на друга, извършена по-рано тази година срещу украинската държавна информационна агенция "Укринформ", която се приписва на групата Sandworm.
"Методът на изпълнение на злонамерения план, IP адресите на субектите на достъп, както и фактът на използване на модифицирана версия на RoarBat свидетелстват за сходство с кибератаката срещу "Укринформ", казва CERT-UA.
Не е изненадващо, че всички украински правителствени служители трябва да засилят сигурността на своите VPN мрежи чрез включване на многофакторна автентикация. Това вероятно е урок и за всички онези, които поддържат големи обеми чувствителни данни онлайн.
Снимка: Unsplash
Виж още: Microsoft предупреди за множество хакерски атаки от страна на Русия