Четвъртък, 28 март 2024 г

работен плот v4.2.1

Root NationНовиниIT новиниCERT-UA установи кой е извършил кибератаки срещу украински организации

CERT-UA установи кой е извършил кибератаки срещу украински организации

-

Правителственият компютърен екип за спешно реагиране на Украйна CERT-UA, който работи към Държавната служба за специални комуникации и защита на информацията (Държавни специални комуникации), разследва фактите за нарушението интегритет информация след прилагане на злонамерен софтуер.

Екипът разследва инцидент, при който нападателите атакуват целостта и наличността на информация, използвайки програмата Somnia. Групата FRwL (известна още като Z-Team) пое отговорност за неоторизирана намеса в работата на автоматизирани системи и електронни изчислителни машини. Правителственият екип CERT-UA следи дейността на нападателите под идентификатор UAC-0118.

CERT-UA

Като част от разследването специалистите установиха, че първоначалният компромет е настъпил след изтегляне и стартиране на файл, който е имал имитират Разширен софтуер за IP скенер, но всъщност съдържаше злонамерения софтуер Vidar. Според експертите тактиката за създаване на копия на официални ресурси и разпространението на злонамерени програми под прикритието на популярни програми е прерогатив на така наречените брокери за първоначален достъп (първоначален акcess брокер).

Също интересно:

„В случая на конкретно разглеждания инцидент, с оглед на очевидната принадлежност на откраднатите данни към украинска организация, съответният брокер е прехвърлил компрометираните данни на престъпната група FRwL с цел по-нататъшно използване за извършване на кибератака, “ се казва в проучването на CERT-UA.

VPN

Важно е да се подчертае, че крадецът Vidar, наред с други неща, краде данни за сесии Telegram. И ако потребителят няма двуфакторно удостоверяване и конфигуриран парола, нападателят може да получи неоторизиран достъп до този акаунт. Оказа се, че сметките в Telegram използвани за прехвърляне на конфигурационни файлове за VPN връзка (включително сертификати и данни за удостоверяване) към потребителите. И без двуфакторно удостоверяване при установяване на VPN връзка, нападателите успяха да се свържат с нечия друга корпоративна мрежа.

Също интересно:

След като получиха отдалечен достъп до компютърната мрежа на организацията, нападателите извършиха разузнаване (по-специално те използваха Netscan), стартираха програмата Cobalt Strike Beacon и ексфилтрираха данни. Това се доказва от използването на програмата Rсlone. Освен това има признаци за стартиране на Anydesk и Ngrok.

Кибер атака

Като се вземат предвид характерните тактики, техники и квалификации, започвайки от пролетта на 2022 г., групата UAC-0118, с участието на други престъпни групи, участващи по-специално в предоставянето на първоначален достъп и предаване на криптирани изображения на Кобалт Програма Strike Beacon, проведена няколко интервенции в работата на компютърните мрежи на украински организации.

В същото време зловредният софтуер Somnia също се променяше. Първата версия на програмата използваше симетричния 3DES алгоритъм. Във втората версия е внедрен алгоритъмът AES. В същото време, като се вземе предвид динамиката на ключа и вектора за инициализация, тази версия на Somnia, според теоретичния план на нападателите, не предвижда възможност за дешифриране на данни.

Можете да помогнете на Украйна да се бори срещу руските нашественици. Най-добрият начин да направите това е да дарите средства на въоръжените сили на Украйна чрез Savelife или през официалната страница НБУ.

Също интересно:

Dzhereloсерт
Регистрирай се
Уведомете за
гост

0 Коментари
Вградени рецензии
Вижте всички коментари
Други статии
Абонирайте се за актуализации

Последни коментари

Популярни сега
0
Харесваме вашите мисли, моля, коментирайте.x