Ruskí hackeri našli cestu do Windows počítačov. Zneužívajú chybu v programe, ktorý má nainštalovaný prakticky každý

Ruskí hackeri zneužívajú chybu CVE-2025-8088 vo WinRARe, hoci oprava existuje už dávno. Problém majú hlavne počítače, kde tento nenápadný program nikto neaktualizoval.

ruski hackeri
Zdroj: izhar-ahamed a Abbie Fyre z pixabay.com, Vosveteit.sk (úprava)

WinRAR je program, ktorý má v počítači každý, každý ho používa a aj tak väčšinu času ani nevie, že ho tam vlastne má. Ide o program na prácu s archívmi, teda zabalenými súbormi, ktorý sa preslávil ako internetový vtip hlavne kvôli svojej „nekonečnej licencii“. Celkovo však ide o program, na ktorý po inštalácií zabudneš práve preto, ako prirodzene sa s ním robí. Na to stavili počas najnovšej kampane ruskí hackeri, ktorí aktívne napádajú počítače obetí cez WinRAR.

Smutným na tom je, že aktualizácia, ktorá zneužitú bezpečnostnú medzeru opravila, je vonku už viac ako rok. Stále sa však nájde obrovské množstvo zraniteľných PC, pretože málokoho napadne, že aj WinRAR treba aktualizovať. 

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Aj WinRAR treba aktualizovať

Bezpečnostní výskumníci z Trend Micro upozornili na zraniteľnosť označenú ako CVE-2025-8088. Vývojári WinRARu ju opravili ešte v júli 2025, no množstvo počítačov zostalo bez aktualizácie, keďže program treba aktualizovať manuálne. Práve tie sa stali ideálnym cieľom pre útočníkov. Útok sa začína tým, že obeť dostane e-mail s archívom RAR. Vo vnútri nájde dôveryhodne vyzerajúci dokument, pričom v niektorých prípadoch ide o predvolanie na súd, inokedy o úradný dokument alebo materiály súvisiace s armádou.

ruski hackeri
Zdroj: Rokas Tenys / Shutterstock.com

Po otvorení archívu sa zobrazí PDF súbor a používateľ stále nemá šancu zistiť, že sa deje niečo zlé, pretože skutočný útok prebieha inde. Chyba vo WinRARe totiž umožní zapísať ďalšie súbory mimo priečinka, do ktorého si archív rozbalil. Program pritom nevypíše žiadne varovanie a neupozorní na podozrivú aktivitu. Pri ďalšom prihlásení do systému sa škodlivý kód spustí automaticky.

Výskumníci zistili, že najmenej dve samostatné hackerské skupiny používali rovnakú vstupnú bránu. Jedna z nich, označovaná ako SHADOW-EARTH-066 alebo UAC-0226, sa zamerala najmä na ukrajinské vojenské organizácie, policajné zložky a miestne úrady v blízkosti frontovej línie. Táto skupina zároveň výrazne vylepšila svoj škodlivý nástroj GIFTEDCROOK.

Pôvodná verzia sa sústredila hlavne na krádež hesiel uložených v prehliadačoch. Novšia verzia, ktorá nesie názov result.dll, dokáže oveľa viac. Po preniknutí do systému začne prehľadávať Chrome, Edge, Operu aj Firefox a zbiera prihlasovacie údaje, cookies a ďalšie citlivé informácie. Následne sa pustí do hľadania dokumentov uložených v počítači. Zaujímajú ju textové súbory, tabuľky, prezentácie, e-maily, archívy aj konfiguračné súbory.

Zoznam cieľov je pomerne široký. Malvér vyhľadáva PDF dokumenty, súbory Wordu, Excelu, PowerPointu, ale aj archívy ZIP, RAR či 7Z. Nevynechá ani databázy správcu hesiel KeePass alebo konfiguračné súbory VPN pripojení. Za zmienku stojí aj to, ako veľmi sa tento nástroj vyvinul.

Kedysi posielal ukradnuté dáta cez Telegram. Nová verzia využíva vlastné riadiace servery, šifruje komunikáciu a skrýva väčšinu svojich stôp. Po dokončení krádeže dokonca odstráni pomocné súbory, ktoré použila pri útoku. Na napadnutom počítači tak zostane minimum dôkazov.

„Po otvorení archívu nepotrebuje útočník žiadnu ďalšiu interakciu. Obeť vidí iba návnadový dokument,“ uviedli výskumníci vo svojej analýze.

Druhá skupina sa zameriavala viac na špionáž

Druhá skupina, známa pod názvom Earth Dahu alebo Gamaredon, použila rovnakú zraniteľnosť, no nasadila odlišný škodlivý kód. Jej cieľom bola najmä špionáž. Útočníci rozosielali e-maily vydávajúce sa za súdne dokumenty, exekučné príkazy alebo oznámenia od štátnych úradov. Prílohy niesli názvy, ktoré mali pôsobiť dôveryhodne a vyvolať dojem naliehavosti. Podľa odborníkov nejde o ojedinelý prípad. Rovnakú zraniteľnosť v minulosti využili aj ďalšie známe skupiny vrátane Sandwormu či Turly. To ukazuje, akú hodnotu majú podobné chyby pre profesionálnych útočníkov.

WinRAR ako pozriet aktualnu verziu
Zdroj: Vosveteit.sk

„WinRAR je hlboko zakorenený v každodennej práci mnohých organizácií, čo z neho robí atraktívny cieľ pre útočníkov,“ upozornili autori správy.

Práve v tom spočíva najväčší problém. WinRAR nepatrí medzi aplikácie, ktoré sa vo firmách aktualizujú automaticky prostredníctvom centrálnych nástrojov. Mnohé organizácie preto používajú staré verzie ešte dlho po vydaní opravy. Hackeri potom získajú dlhé mesiace, niekedy dokonca roky, na zneužívanie už známej chyby.

Prípad CVE-2025-8088 ukazuje, že kybernetické útoky často nestoja na prelomových technológiách ani na neznámych trikoch. Niekedy úplne postačí stará chyba, ktorú používateľ alebo správca systému jednoducho neopravil. Jeden otvorený archív potom môže stačiť na to, aby sa útočník dostal k heslám, dokumentom a ďalším citlivým údajom bez toho, aby si si čokoľvek všimol. Zároveň je to varovaním, že všetky aplikácie v počítači treba aktualizovať a obzvlášť pozor si treba dať na tie, ktoré nemajú automatické aktualizácie.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať