Ukrainas valdības datoru avāriju reaģēšanas komanda CERT-UA, kas darbojas Valsts īpašo sakaru un informācijas aizsardzības dienesta (valsts īpašie sakari) pakļautībā, izmeklēja pārkāpuma faktus. integritāte informācija pēc ļaunprātīgas programmatūras lietošanas.
Komanda izmeklēja incidentu, kurā uzbrucēji uzbruka informācijas integritātei un pieejamībai, izmantojot programmu Somnia. Grupa FRwL (aka Z-Team) uzņēmās atbildību par nesankcionētu iejaukšanos automatizēto sistēmu un elektronisko skaitļošanas iekārtu darbībā. Valdības komanda CERT-UA uzrauga uzbrucēju darbību ar identifikatoru UAC-0118.
Izmeklēšanas ietvaros speciālisti atklāja, ka sākotnējais kompromiss noticis pēc faila lejupielādes un palaišanas, kas atdarināt Uzlabota IP skenera programmatūra, taču tajā faktiski bija Vidar ļaunprogrammatūra. Pēc ekspertu domām, oficiālo resursu kopiju veidošanas un ļaunprātīgu programmu izplatīšanas taktika populāru programmu aizsegā ir tā saukto sākotnējās piekļuves brokeru (initial ac) prerogatīva.cess brokeris).
Interesanti arī:
"Konkrēti aplūkotā incidenta gadījumā, ņemot vērā nozagto datu acīmredzamo piederību Ukrainas organizācijai, attiecīgais brokeris nodeva apdraudētos datus noziedzīgajam grupējumam FRwL, lai tos tālāk izmantotu kiberuzbrukuma veikšanai. " teikts CERT-UA pētījumā.
Ir svarīgi uzsvērt, ka Vidar zaglis, cita starpā, zog sesijas datus Telegram. Un, ja lietotājam nav iestatīta divu faktoru autentifikācija un piekļuves kods, uzbrucējs var iegūt nesankcionētu piekļuvi šim kontam. Izrādījās, ka konti iekš Telegram izmanto VPN savienojuma konfigurācijas failu (tostarp sertifikātu un autentifikācijas datu) pārsūtīšanai lietotājiem. Un bez divu faktoru autentifikācijas, izveidojot VPN savienojumu, uzbrucēji varēja izveidot savienojumu ar kāda cita uzņēmuma tīklu.
Interesanti arī:
Pēc attālās piekļuves organizācijas datortīklam uzbrucēji veica izlūkošanu (jo īpaši izmantoja Netscan), palaida programmu Cobalt Strike Beacon un izfiltrēja datus. Par to liecina programmas Rсlone izmantošana. Turklāt ir pazīmes, kas liecina par Anydesk un Ngrok palaišanu.
Ņemot vērā raksturīgo taktiku, paņēmienus un kvalifikāciju, sākot ar 2022. gada pavasari, UAC-0118 grupa, piedaloties citiem noziedzīgiem grupējumiem, kas iesaistīti, jo īpaši sākotnējās piekļuves nodrošināšanā un šifrētu Kobalta attēlu pārraidē. Strike Beacon programma, ko veica vairākas iejaukšanās Ukrainas organizāciju datortīklu darbā.
Tajā pašā laikā mainījās arī Somnia ļaunprātīgā programmatūra. Pirmajā programmas versijā tika izmantots simetrisks 3DES algoritms. Otrajā versijā tika realizēts AES algoritms. Tajā pašā laikā, ņemot vērā atslēgas un inicializācijas vektora dinamiku, šī Somnia versija saskaņā ar uzbrucēju teorētisko plānu neparedz datu atšifrēšanas iespēju.
Jūs varat palīdzēt Ukrainai cīnīties pret krievu iebrucējiem. Labākais veids, kā to izdarīt, ir ziedot līdzekļus Ukrainas bruņotajiem spēkiem Savelife vai izmantojot oficiālo lapu NBU.
Interesanti arī: