Les autorités ukrainiennes signalent que des pirates informatiques russes ont utilisé l’outil de compression de fichiers WinRAR pour effacer les données des ordinateurs de plusieurs agences gouvernementales.
L’équipe d’intervention d’urgence informatique du gouvernement ukrainien (s’ouvre dans un nouvel onglet) (CERT-UA) revendications (via Bleeping Computer (s’ouvre dans un nouvel onglet)) que des pirates informatiques russes, peut-être le tristement célèbre groupe Sandworm, ont acquis des comptes VPN compromis qui, à leur tour, ont donné accès aux réseaux officiels de l’État ukrainien.
Les pirates ont apparemment utilisé le script RoarBAT, qui recherche des fichiers sur la machine ciblée avec des extensions telles que .doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, . zip, .rar, .7z et plusieurs autres, avant d’archiver les fichiers avec WinRAR et d’appliquer l’option « -df ». L’utilisation de cette option supprime automatiquement les fichiers source après l’archivage. Le script RoarBAT supprime ensuite les fichiers archivés, entraînant une perte totale de données.
Le piratage est possible grâce à l’omniprésence de WinRAR sur les PC modernes. Apparemment, les systèmes Linux ne sont pas à l’abri de l’attaque et peuvent être compromis à l’aide d’un script BASH et de l’utilitaire dd standard, quoi que cela signifie.
Le CERT-UA ukrainien affirme que ce dernier piratage est étrangement similaire à une autre attaque plus tôt cette année contre l’agence de presse ukrainienne « Ukrinform » plus tôt cette année, qui a été attribuée au groupe Sandworm.
« La méthode de mise en œuvre du plan malveillant, les adresses IP des sujets d’accès, ainsi que le fait d’utiliser une version modifiée de RoarBat témoignent de la similitude avec la cyberattaque sur Ukrinform », précise le CERT-UA.
Sans surprise, il indique également que tous les agents du gouvernement ukrainien devraient renforcer leur sécurité VPN en activant l’authentification multifacteur. Ce qui est probablement une leçon pour nous tous aussi.