Nhóm hacker người Nga được biết đến với tên gọi là ‘Sandworm’ đã được xác định là thủ phạm đứng sau cuộc tấn công vào mạng lưới nhà nước Ukraina, trong đó họ sử dụng WinRar để xóa dữ liệu trên các thiết bị chính phủ. Đội ngũ Ứng phó Khẩn cấp Máy tính Chính phủ Ukraina (CERT-UA) tiết lộ rằng những hacker đã khai thác các tài khoản VPN bị xâm phạm không có xác thực đa yếu tố để truy cập vào các hệ thống quan trọng trong mạng lưới nhà nước. Sau khi đã vào bên trong, họ sử dụng các kịch bản đã sử dụng chương trình lưu trữ WinRar để xóa các tập tin trên cả máy tính Windows và Linux. Sandworm đã sử dụng một kịch bản BAT có tên là ‘RoarBat’ trên Windows, nhận dạng các loại tệp tin cụ thể và tự động lưu trữ chúng bằng cách sử dụng tùy chọn dòng lệnh “-df” của WinRar, xóa các tệp tin trong quá trình lưu trữ. Trên Linux, họ sử dụng một kịch bản Bash sử dụng tiện ích “dd” để ghi đè lên các loại tệp tin mục tiêu bằng số byte không. Cuộc tấn công tương tự với cuộc tấn công phá hoại trước đó vào cơ quan tin tức nhà nước Ukraina vào tháng 1 năm 2023, cũng được cho là do Sandworm thực hiện. CERT-UA đề xuất các biện pháp bảo mật khác nhau cho các tổ chức quan trọng, bao gồm giảm bề mặt tấn công, vá lỗi, vô hiệu hóa các dịch vụ không cần thiết, hạn chế truy cập và triển khai xác thực đa yếu tố cho các tài khoản VPN.
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.
Source: Bleeping Computer