Ukraynalı yetkililer Rus bilgisayar korsanlarının WinRAR dosya sıkıştırma aracını kullanarak çok sayıda devlet kurumundaki bilgisayarlardan veri sildiğini bildiriyor.
Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), (Bleeping Computer aracılığıyla) muhtemelen kötü şöhretli Sandworm grubu olan Rus bilgisayar korsanlarının, ele geçirilmiş VPN hesaplarını ele geçirdiğini ve bunların da resmi Ukrayna devlet ağlarına erişim sağladığını iddia ediyor.
Görünüşe göre bilgisayar korsanları, dosyaları WinRAR ile arşivlemeden ve “-df” seçeneğini uygulamadan önce hedeflenen makinede .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, .zip, .rar, .7z ve daha birçok uzantıya sahip dosyaları arayan RoarBAT scriptini kullandılar. Bu seçeneğin kullanılması arşivlemeden sonra kaynak dosyaları otomatik olarak silmektedir. RoarBAT scripti daha sonra arşivlenmiş dosyaları silerek tamamen veri kaybına yol açar.
Bu hack, WinRAR’ın modern bilgisayarlarda da her yerde bulunması sayesinde mümkün oluyor. Görünüşe göre, Linux sistemleri saldırıdan muaf değil ve bir BASH scripti ve standart dd yardımcı programı kullanılarak tehlikeye atılabilir.
Ukrayna CERT-UA’sı bu son saldırının, bu yılın başlarında Ukrayna devlet haber ajansı “Ukrinform “a yapılan ve Sandworm grubuna atfedilen bir başka saldırıya şüpheli bir şekilde benzediğini söylüyor.
CERT-UA, “Kötü niyetli planın uygulanma yöntemi, erişim öznelerinin IP adresleri ve RoarBat’ın değiştirilmiş bir versiyonunun kullanılması, Ukrinform’a yapılan siber saldırı ile benzerliği kanıtlıyor” diyor.
Şaşırtıcı olmayan bir şekilde, tüm Ukrayna hükümet görevlilerinin çok faktörlü kimlik doğrulamayı etkinleştirerek VPN güvenliklerini sıkılaştırmaları gerektiğini de söylüyor.