WinRAR được hacker Nga dùng làm vũ khí tấn công mạng

Các cơ quan chính phủ Ukraine được cho là đã bị mất dữ liệu do các cuộc tấn công bởi tin tặc Nga.

Theo PC Gamer, chính quyền Ukraine vừa qua đã báo cáo rằng tin tặc Nga đang sử dụng phần mềm nén tệp WinRAR để xóa dữ liệu máy tính của nhiều cơ quan chính phủ nước này.

Nhóm Ứng phó Khẩn cấp Máy tính của Chính phủ Ukraine (CERT-UA) vừa qua đã tuyên bố rằng các tin tặc Nga, có thể là nhóm Sandworm khét tiếng, đã xâm nhập vào các tài khoản VPN, từ đó có được quyền truy cập vào hệ thống mạng của chính phủ Ukraine.

Theo đó, các tin tặc đã sử dụng script RoarBAT để tìm kiếm các tệp có phần mở rộng như .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, . zip, .rar, .7z, … trên máy tính mục tiêu, sau đó nén chúng lại bằng chương trình WinRAR và áp dụng tùy chọn "-df". Sử dụng tùy chọn này sẽ khiến WinRAR tự động xóa các tệp gốc sau khi nén xong. Sau đó, script RoarBAT sẽ xóa các tệp vừa được nén, dẫn đến mất toàn bộ dữ liệu.

Các vụ tấn công đã được thực hiện một cách trơn tru nhờ sự phổ biến của WinRAR trên các hệ thống PC ngày nay.

CERT-UA cho biết vụ tấn công mới nhất này rất giống với một cuộc tấn công khác vào đầu năm nay, nhắm vào hãng thông tấn nhà nước Ukrinform do nhóm Sandworm thực hiện. CERT-UA cho biết: “Phương pháp tấn công, địa chỉ IP của các đối tượng truy cập cũng như việc sử dụng phiên bản sửa đổi của RoarBAT cho thấy sự tương đồng với cuộc tấn công mạng nhắm vào Ukrinform hồi đầu năm”.