Xüsusi Rabitə və İnformasiyanın Mühafizəsi üzrə Dövlət Xidmətinin (Dövlət Xüsusi Rabitə) nəzdində fəaliyyət göstərən Ukraynanın CERT-UA Hökumətinin Kompüter Fövqəladə Hallara Müdaxilə Qrupu pozuntu faktlarını araşdırıb. bütövlük zərərli proqram təminatının tətbiqindən sonra məlumat.
Komanda hücumçuların Somnia proqramından istifadə edərək məlumatın bütövlüyünə və əlçatanlığına hücum etdiyi insidenti araşdırdı. FRwL (aka Z-Team) qrupu avtomatlaşdırılmış sistemlərin və elektron hesablama maşınlarının işinə icazəsiz müdaxiləyə görə məsuliyyəti öz üzərinə götürüb. CERT-UA hökumət komandası UAC-0118 identifikatoru altında təcavüzkarların fəaliyyətinə nəzarət edir.
İstintaqın bir hissəsi olaraq, mütəxəssislər ilkin kompromislərin faylı yüklədikdən və işə saldıqdan sonra baş verdiyini müəyyən etdilər təqlid etmək Təkmil IP Skaner proqramı, lakin əslində Vidar zərərli proqramı ehtiva edir. Mütəxəssislərin fikrincə, rəsmi resursların nüsxələrinin yaradılması və populyar proqramlar adı altında zərərli proqramların yayılması taktikası ilkin giriş brokerlərinin (ilkin access broker).
Həmçinin maraqlıdır:
“Xüsusi olaraq nəzərdən keçirilən insidentlə bağlı, oğurlanmış məlumatların açıq-aşkar Ukrayna təşkilatına məxsusluğunu nəzərə alaraq, müvafiq broker kiberhücum həyata keçirmək üçün gələcəkdə istifadə etmək məqsədilə oğurlanmış məlumatları FRwL cinayətkar qrupuna ötürüb, "CERT-UA araşdırması deyir.
Vurğulamaq vacibdir ki, Vidar oğurluğu, digər şeylərlə yanaşı, sessiya məlumatlarını oğurlayır Telegram. İstifadəçinin iki faktorlu autentifikasiyası və parolu yoxdursa, təcavüzkar həmin hesaba icazəsiz giriş əldə edə bilər. Məlum olub ki, hesablar daxil olub Telegram VPN bağlantısı konfiqurasiya fayllarını (sertifikatlar və autentifikasiya məlumatları daxil olmaqla) istifadəçilərə ötürmək üçün istifadə olunur. VPN bağlantısı qurarkən iki faktorlu autentifikasiya olmadan təcavüzkarlar başqasının korporativ şəbəkəsinə qoşula bildilər.
Həmçinin maraqlıdır:
Təşkilatın kompüter şəbəkəsinə uzaqdan giriş əldə etdikdən sonra təcavüzkarlar kəşfiyyat aparıblar (xüsusən də Netscan-dan istifadə ediblər), Cobalt Strike Beacon proqramını işə salıblar və məlumatları çıxarıblar. Bunu Rсlone proqramının istifadəsi sübut edir. Bundan əlavə, Anydesk və Ngrok-un işə salınmasının əlamətləri var.
Xarakterik taktika, texnika və ixtisasları nəzərə alaraq, 2022-ci ilin yazından başlayaraq, UAC-0118 qrupu digər cinayətkar qrupların iştirakı ilə, xüsusən də Kobaltın şifrəli təsvirlərinin ilkin girişinin və ötürülməsinin təmin edilməsində iştirak edir. Strike Beacon proqramı, bir neçə icra etdi müdaxilələr Ukrayna təşkilatlarının kompüter şəbəkələrinin işində.
Eyni zamanda, Somnia zərərli proqramı da dəyişirdi. Proqramın ilk versiyasında simmetrik 3DES alqoritmindən istifadə edilmişdir. İkinci versiyada AES alqoritmi tətbiq edilmişdir. Eyni zamanda, açarın dinamikasını və inisializasiya vektorunu nəzərə alaraq, Somnia-nın bu versiyası, təcavüzkarların nəzəri planına görə, məlumatların şifrəsini açmaq imkanını nəzərdə tutmur.
Siz Ukraynaya rus işğalçılarına qarşı mübarizədə kömək edə bilərsiniz. Bunun ən yaxşı yolu Ukrayna Silahlı Qüvvələrinə pul köçürməkdir Savelife və ya rəsmi səhifə vasitəsilə NBU.
Həmçinin maraqlıdır: