Rosyjscy hakerzy wykorzystują WinRAR-a jako broń

Ukraiński Rządowy Zespół Reagowania na Incydenty Komputerowe twierdzi, że rosyjscy hakerzy weszli w posiadanie kont VPN, które umożliwiły dostęp do komputerów wchodzących w skład oficjalnych sieci państwowych Ukrainy.

Hakerzy, prawdopodobnie należący do owianej złą sławą grupy Sandworm, skorzystali ze skryptu RoarBAT, który przeszukuje dysk w poszukiwaniu plików odpowiednich formatów, a następnie łączy je w jedno archiwum przy pomocy tytułowego programu. Nie byłby to żaden problem, gdyby nie fakt, że za sprawą zastosowania opcji „-df”, pliki źródłowe kasowane są od razu po zakończeniu procesu archiwizacji. Sama „paczka” również zbyt długo nie cieszy się obecnością na dysku, jako że jest ona usuwana przez RoarBAT, co prowadzi do całkowitej utraty danych.

Nie jest to jednak pierwszy atak tego typu, jako że ukraińska państwowa agencja informacyjna Ukrinform padła ofiarą niezwykle podobnego procederu na początku bieżącego roku. Ukraiński Rządowy Zespół Reagowania na Incydenty Komputerowe zalecił zwiększenie dbałości o bezpieczeństwo stosowanych kont VPN oraz korzystanie z weryfikacji dwuetapowej. Jak więc widać, w znacznej mierze zawinił czynnik ludzki. Ataki te nie są więc karą za nieopłacaną od kilku lat licencję WinRAR-a, a żeby program wyrządził na komputerze realne szkody, hakerzy najpierw muszą uzyskać dostęp do maszyny, tak jak miało to miejsce w opisywanym przypadku.