Ukrainische Behörden berichten, dass russische Hacker das WinRAR-Dateikomprimierungstool verwendet haben, um Daten von Computern mehrerer Regierungsbehörden zu löschen.
Der Computer-Notfallteam der ukrainischen Regierung (öffnet in neuem Tab) (CERT-UA) Ansprüche (via Computer piepst (öffnet in neuem Tab)), dass russische Hacker, möglicherweise die berüchtigte Sandworm-Gruppe, kompromittierte VPN-Konten erworben haben, die wiederum Zugang zu offiziellen ukrainischen staatlichen Netzwerken ermöglichten.
Die Hacker verwendeten offenbar das RoarBAT-Skript, das auf dem Zielcomputer nach Dateien mit den Erweiterungen .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, . zip, .rar, .7z und einige mehr, bevor Sie die Dateien mit WinRAR archivieren und die Option „-df“ anwenden. Mit dieser Option werden die Quelldateien nach der Archivierung automatisch gelöscht. Das RoarBAT-Skript löscht dann die archivierten Dateien, was zu einem totalen Datenverlust führt.
Der Hack ist dank der Allgegenwart von WinRAR auf modernen PCs möglich. Anscheinend sind Linux-Systeme nicht immun gegen den Angriff und können mit einem BASH-Skript und dem Standard-Dienstprogramm dd kompromittiert werden, was auch immer das bedeutet.
Das ukrainische CERT-UA sagt, dass dieser jüngste Hack einem anderen Angriff Anfang dieses Jahres auf die ukrainische staatliche Nachrichtenagentur „Ukrinform“ Anfang dieses Jahres verdächtig ähnlich ist, der der Sandworm-Gruppe zugeschrieben wurde.
„Die Art der Umsetzung des Schadplans, die IP-Adressen der Zugriffssubjekte sowie die Tatsache, dass eine modifizierte Version von RoarBat verwendet wurde, zeugen von der Ähnlichkeit mit dem Cyberangriff auf Ukrinform“, so CERT-UA.
Es überrascht nicht, dass alle ukrainischen Regierungsbeamten ihre VPN-Sicherheit durch die Aktivierung der Multi-Faktor-Authentifizierung verbessern sollten. Was wahrscheinlich auch uns allen eine Lehre ist.