Российские хакерские группы использовали WinRAR в качестве "кибероружия" для атаки на Украину

Правительство Украины сообщило, что российские хакеры использовали утилиту сжатия файлов WinRAR для удаления данных с компьютеров нескольких государственных учреждений. По данным Украинской группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA), группа Sandworm, возможно, получила доступ к взломанным учетным записям VPN, которые обеспечивали доступ к официальным правительственным сетям Украины.

Хакеры, очевидно, использовали скрипт RoarBAT для поиска файлов на целевой машине с расширениями.doc,.docx,.rtf,.txt,.xls,.xlsx,.ppt,.pptx,.jpeg,.jpg,.zip,.rar,.7z и некоторыми другими, а затем использовали WinRAR для архивации файлов и опцию "-df", которая автоматически удаляет исходные файлы после архивации. Затем сценарий RoarBAT удалил заархивированные файлы, что привело к полной потере данных.

Утилита WinRAR, которая широко используется на большинстве современных компьютеров, может быть причиной их компрометации. Похоже, что Linux-системы не защищены от подобных атак, и для их компрометации могут быть использованы BASH-скрипт и стандартный инструмент dd, несмотря на первоначальное впечатление безопасности.

Украинский центр информационной безопасности CERT-UA утверждает, что недавний взлом напоминает атаку на государственное информационное агентство "Укринформ" в начале этого года, которая была связана с группой Sandworm.

"Методы реализации вредоносного плана, IP-адреса злоумышленников и использование модифицированной версии RoarBat указывают на сходство с кибератакой на "Укринформ", - отметили в CERT-UA.

Центр также настоятельно рекомендует всем украинским государственным операторам повысить безопасность своих VPN с помощью многофакторной аутентификации. Это, вероятно, должно стать уроком для всех нас.