Los ataques informáticos han sido una constante desde el inicio de la guerra entre Rusia y Ucrania. Ambos bandos han perpetrado varios hackeos con el objetivo de desbaratar los planes del enemigo, aunque ahora se ha conocido un caso bastante peculiar. Según recoge Tom's Hardware, hackers rusos han utilizado WinRAR para atacar organismos del gobierno ucraniano y eliminar gran cantidad de archivos de sus ordenadores.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha confirmado el incidente. De acuerdo con el ente especializado en ciberseguridad, los piratas informáticos han logrado acceder a algunos de los sistemas más importantes del gobierno para destruir datos almacenados en sus equipos. Y el arma que se eligió no fue otra más que el popular software de compresión de archivos WinRAR.
¿Pero cómo pudieron los hackers rusos usar WinRAR para este fin? Según explicaron los expertos, los atacantes lograron acceder a los sistemas del gobierno de Ucrania usando cuentas de VPN que habían sido comprometidas con antelación, y que no estaban protegidas por un sistema de autenticación multifactor.
Hackers rusos convierten a WinRAR en un arma contra Ucrania
Una vez logrado el acceso a los equipos ucranianos, los cibercriminales pudieron aprovecharse de la instalación legítima de WinRAR en los PC afectados para eliminar los archivos deseados. En el caso de los ordenadores con Windows, los piratas informáticos ejecutaron una versión modificada de un script llamado RoarBAT. Se trata de un archivo batch que sirve para buscar una amplia gama de archivos en discos y directorios específicos.
Entre los formatos soportados se encuentran aquellos correspondientes a documentos de Word (.doc o .docx), planillas de Excel (.xls o .xlsx), imágenes (.jpg, .png, etc.), archivos PDF, material multimedia (.mp4), ficheros comprimidos (.zip, .rar, .7z) y hasta ejecutables (.exe), entre muchos otros.
Cuando los hackers rusos hallaron los archivos que pretendían eliminar, los enviaron a WinRAR para archivarlos. El punto clave es que lo hicieron usando la opción "-df", a través de la línea de comandos de Windows. De esta forma, todos los datos originales se iban eliminando a medida que se los archivaba, y el script finalizaba también borrando el fichero archivado. Así, se estima que los actores maliciosos lograron destruir gran cantidad de información, aunque el alcance real de la vulneración no se ha divulgado.
Eliminando archivos a granel
Pero el ataque no se limitó a ordenadores con el sistema operativo de Microsoft y WinRAR. En el caso de los equipos con distribuciones de Linux, los piratas informáticos utilizaron un script de Bash para perpetrar el ataque. Una vez que encontraron los documentos a eliminar, usaron el comando "dd" para sobreescribirlos con archivos de cero bytes.
Los expertos en ciberseguridad de Ucrania indicaron que tanto el ataque con WinRAR como con el script de Bash podrían haberse evitado. Específicamente, si se hubiera protegido las credenciales de inicio de sesión de las agencias gubernamentales con un sistema de autenticación multifactor. Según las direcciones IP y el método para llevar a cabo el ataque, los ucranianos apuntan a hackers rusos del grupo Sandworm como sus autores.