Google postawił poważne zarzuty. Znany i lubiany program jest wykorzystywany przez hakerów pracujących dla rządów z Rosji i Chin.
Ten program to WinRAR, używany przez około 500 milionów osób na całym świecie. Specjaliści z jednostki Google TAG wykryli ataki, wykorzystujące poważną lukę w tym programie. Za procederem stoją hakerzy ze znanych grup (m.in. Sandworm, APT28, APT40, Konni, DarkPink), w tym finansowanych przez rządy Rosji i Chin. Sprawa jest poważna.
Cyberprzestępcy wykorzystują znaną lukę w programie WinRAR. Podatność CVE-2023-38831 jest już dobrze znana i została usunięta w wydaniu WinRAR 6.23 w sierpniu 2023 roku. W idealnym świecie, gdzie użytkownicy ściągają aktualizacje oprogramowania na bieżąco, w ogóle nie byłoby tych ataków. Niestety nie żyjemy w świecie idealnym i miliony osób mają aktualizacje w głębokim poważaniu. Narażają się przez to na ataki.
Luka jest wykorzystywana przynajmniej od kwietnia 2023 roku w przeróżnych atakach. Właściwie wystarczy przekonać ofiarę, by otworzyła archiwum ze szkodliwym plikiem. Hakerzy mają na to mnóstwo sposobów. Obiecują, że wewnątrz znajdują się ważne dokumenty, darmowa gra, treści erotyczne itp. WinRAR starszy niż 6.23 daje się oszukać i przy rozpakowywaniu archiwum wykonuje szkodliwy skrypt, co otwiera drogę dalszym etapom ataku.
W odkryciu luki pomógł kwietniowy atak wymierzony przeciwko entuzjastom kryptowalut. Spreparowane archiwum miało rzekomo zawierać strategie inwestycyjne, stosowane przez osoby, które rzekomo odniosły sukces na giełdzie. Kontakt był nawiązywany za pośrednictwem forów tematycznych. Już kilka godzin po ujawnieniu istnienia luki w sieci, w tym na GitHubie, zaczęły pojawiać się exploity. Specjaliści przypuszczają, że grupy cyberprzestępców ruszyły z masowym testem skuteczności ataków.
Grupy sponsorowane przez rząd Rosji celują głównie w osoby sympatyzujące z Ukrainą. I tak we wrześniu hakerzy z Sandworm rozesłali e-maile z fałszywymi zaproszeniami do udziału w szkoleniu dla pilotów dronów. Załączone pliki, jeśli zostały rozpakowane programem WinRAR, infekowały komputer wirusem wykradającym informacje znanym jako Rhadamanthys. ATP28 celowali w Ukraińców, by wykradać dane logowania z przeglądarek. W swojej kampanii wykorzystali darmowy hosting plików i złośliwy skrypt IRONJAW. Chińscy hakerzy z APT40 zaś przejmowali kontrolę nad komputerami użytkowników w Papui Nowej Gwinei, także korzystając z luki w popularnym programie.
Takich przykładów na pewno jest więcej, a my znamy jedynie ułamek arsenału. Dopóki internauci nie będą aktualizować swoich programów, hakerzy mają setki milionów osób na widelcu.
Źródło zdjęć: Mas Jono / Shutterstock
Źródło tekstu: Google