За даними аналітиків кібербезпеки, російські хакерські угруповання розгорнули щонайменше дві окремі кампанії, націлені на українські військові та урядові структури. Основною зброєю в цих атаках стала відома вразливість у популярному архіваторі WinRAR, ідентифікована як CVE-2023-38831. Метою цих операцій є викрадення конфіденційних даних та проведення кібершпигунства проти ключових українських установ.
Вразливість CVE-2023-38831, яка була виправлена виробником ще в липні 2023 року, дозволяє зловмисникам виконувати довільний код на системі жертви. Експлуатація відбувається через спеціально створені архіви WinRAR, які, здавалося б, містять безпечні файли (наприклад, зображення або текстові документи). Однак при спробі відкрити такий файл, вразливість дозволяє запустити шкідливий скрипт або програму, приховану в тому ж архіві, без явного попередження користувача.
Ця техніка дозволяє обійти стандартні механізми безпеки та встановити на скомпрометованій системі шкідливе програмне забезпечення для подальшого контролю, збору інформації та передачі її на сервери зловмисників. Факт використання вже виправленої вразливості підкреслює важливість своєчасного застосування оновлень безпеки.
Основними цілями цих атак є військові та урядові організації України. Однак потенційно під загрозою перебувають будь-які організації та приватні користувачі, які використовують застарілі версії WinRAR. З огляду на характер конфлікту, російські кіберзлочинці постійно шукають нові вектори атак для компрометації українських державних систем та критичної інфраструктури.
Особливу увагу слід приділити співробітникам, які працюють з архівами, отриманими з ненадійних джерел, або тим, хто має доступ до чутливої інформації. Навіть якщо ваша організація не є прямою військовою чи урядовою структурою, вона може стати проміжною ланкою в ланцюгу поставок або мати доступ до інформації, яка цікавить зловмисників.
Для мінімізації ризиків та захисту від подібних атак, Cyber Index UA рекомендує наступні дії:
- Негайне оновлення WinRAR: Переконайтеся, що всі інсталяції WinRAR у вашій організації оновлені до останньої версії (6.23 або новішої), яка містить виправлення для CVE-2023-38831.
- Навчання користувачів: Проведіть інструктаж для співробітників щодо небезпеки відкриття підозрілих архівів, особливо тих, що надходять з невідомих джерел або мають незвичайний вміст.
- Використання антивірусного ПЗ: Забезпечте наявність актуального антивірусного програмного забезпечення та його регулярне оновлення на всіх робочих станціях та серверах.
- Моніторинг мережі: Впровадьте системи моніторингу мережевого трафіку для виявлення аномальної активності або спроб несанкціонованої передачі даних.
- Резервне копіювання: Регулярно створюйте резервні копії критично важливих даних, щоб мати можливість їх відновлення у разі успішної атаки.