Az orosz-ukrán háború már nagyon régóta zajlik a hadszíntéren, ugyanis a „különleges katonai művelet” még 2022. február 24-én indult, és egyelőre azt sem látni, mikor érhet véget. Közben a kibertérben is zajlanak a csatározások, amelyek legújabb fejleményeként ukrán kormányzati rendszereket sikerült elérniük egy orosz hackercsoport tagjainak. Az Ukrán Kormány Számítógépes Vészhelyzeti Reagálási Csoportja (CERT-UA) a napokban arról számolt be, hogy kompromittált VPN bejelentkezési adatok felhasználásával jutottak be a hackerek a kormányzati hálózatba, majd egy RoarBAT nevű szkriptet futtattak le, ezzel különböző károkat okozva, ugyanis különböző fájlokat töröltek.

A RoarBAT névre keresztelt kötegfájl igazából egy megbízható alkalmazást, a WinRAR-t használta fel arra, hogy keressen különböző kiterjesztésű fájlokat, majd azokat tömörítse archívumba, a folyamat végén pedig törölje őket, és magát a létrehozott archívumot is megsemmisítette.  A szkript egyebek mellett ezeket a fájlkiterjesztéseket kereste: doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql , .php, .vbk, .vib, .vrb, .p7s and .sys, .dll, .exe, .bin és .dat.  Ezzel a módszerrel a Windows alapú számítógépeket vették célba, viszont a Linux disztribúciót futtató konfigurációk sem védettek egy efféle támadás ellen, ugyanis egy megfelelően megalkotott BASH script és az alapértelmezett dd segédprogram használata mellett azokon az operációs rendszereken is végrehajtható egy efféle támadás.

A hackerek a RoarBAT szkript módosított változatát vethették be, ami számos fájlkiterjesztést támogat, ezeket meg is tudja keresni az adott rendszeren, majd ha megvannak, átküldheti őket a WinRAR-nak egy –df kapcsoló alkalmazása mellett, ami az eredeti fájlok törlését eredményezi, ahogy kész a tömörített állomány. Maga a szkript később a WinRAR által létrehozott tömörített állományt is törölte, ezzel a fájlok elvesztek. Arról nem szól a fáma, milyen hatékonysággal lehet őket esetleg helyreállítani. Az viszont kiderült, hogy a folyamatot időzített feladatként hozták létre, majd a Windows Domainen belül található összes eszközre elküldték a Group Policy Object funkció segítségével.

Az egyelőre nem nyert bizonyítást, hogy pontosan mely hackercsoporthoz köthető a támadás, feltételezések viszont vannak: az orosz Sandworm csoport számlájára írnák. A támadást egyébként úgy tudták kivitelezni a hackerek, hogy az állami VPN-ek esetében nem túl magas a biztonság szintje, így lehetőség nyílhat a bejelentkezési adatok megszerzésére és felhasználásukra is. A támadást követően a CERT-UA szakemberei minden felhasználónak azt tanácsolták, kapcsolják be a többfaktoros felhasználó-hitelesítést az összes általuk használt fiókban, amelyeket a kormányzati adatokhoz való hozzáféréshez használnak.

Az ukrán szakemberek szerint a fenti támadásforma nagyon hasonlít arra, mint amit korábban az ukrán állami hírügynökséggel, az Ukrinformmal szemben alkalmaztak. Akkoriban szintén az orosz Sandworm hackercsapat számlájára írták a támadást.