Владиниот компјутерски тим за одговор при итни случаи на Украина CERT-UA, кој работи во рамките на Државната служба за специјални комуникации и заштита на информации (Државни специјални комуникации), ги истражи фактите за прекршувањето интегритет информации по примената на малициозен софтвер.
Тимот истражуваше инцидент во кој напаѓачите го нападнаа интегритетот и достапноста на информациите користејќи ја програмата Somnia. Групата FRwL (познато како Z-Team) ја презеде одговорноста за неовластено мешање во работата на автоматизираните системи и електронските компјутерски машини. Владиниот тим CERT-UA ја следи активноста на напаѓачите под идентификаторот UAC-0118.
Како дел од истрагата, специјалистите откриле дека првичниот компромис се случил по преземањето и извршувањето на датотеката што ја имала имитираат Напреден софтвер за IP скенер, но всушност го содржеше малициозниот софтвер Vidar. Според експертите, тактиката на создавање копии од официјални ресурси и дистрибуција на малициозни програми под маската на популарни програми е привилегија на таканаречените посредници за иницијален пристап (почетна ак.cesброкер).
Исто така интересно:
„Во случајот на конкретно разгледуваниот инцидент, со оглед на очигледната припадност на украдените податоци на украинска организација, релевантниот брокер ги префрлил компромитираните податоци на криминалната група FRwL со цел понатамошна употреба за извршување на сајбер напад, “, се вели во студијата CERT-UA.
Важно е да се нагласи дека крадецот на Видар, меѓу другото, краде и податоци од сесиите Telegram. И ако корисникот нема двофакторна автентикација и поставена лозинка, напаѓачот може да добие неовластен пристап до таа сметка. Се покажа дека сметките во Telegram се користи за пренос на датотеки за конфигурација на VPN конекција (вклучувајќи сертификати и податоци за автентикација) на корисниците. И без двофакторна автентикација при воспоставување VPN конекција, напаѓачите можеа да се поврзат со туѓа корпоративна мрежа.
Исто така интересно:
Откако добија далечински пристап до компјутерската мрежа на организацијата, напаѓачите спроведоа извидување (особено користеа Netscan), ја започнаа програмата Cobalt Strike Beacon и ексфилтрираа податоци. Ова е потврдено со употребата на програмата Rсlone. Дополнително, има знаци за лансирање на Anydesk и Ngrok.
Земајќи ги предвид карактеристичните тактики, техники и квалификации, почнувајќи од пролетта 2022 година, групата UAC-0118, со учество на други криминални групи вклучени, особено, во обезбедувањето првичен пристап и пренос на шифрирани слики од Кобалт Strike Beacon програма, спроведена неколку интервенции во работата на компјутерските мрежи на украинските организации.
Во исто време, малициозниот софтвер Somnia исто така се менуваше. Првата верзија на програмата го користеше симетричниот алгоритам 3DES. Во втората верзија, беше имплементиран алгоритмот AES. Во исто време, земајќи ја предвид динамиката на клучот и векторот за иницијализација, оваа верзија на Somnia, според теоретскиот план на напаѓачите, не предвидува можност за дешифрирање на податоците.
Можете да и помогнете на Украина да се бори против руските напаѓачи. Најдобар начин да го направите ова е да донирате средства за вооружените сили на Украина преку Савелифе или преку официјалната страница Bвезди.
Исто така интересно: