Vladin tim za hitne slučajeve u kompjuterskim slučajevima Ukrajine CERT-UA, koji djeluje u okviru Državne službe za posebne komunikacije i zaštitu informacija (State Special Communications), istražio je činjenice kršenja integritet informacije nakon primjene zlonamjernog softvera.
Tim je istražio incident u kojem su napadači napali integritet i dostupnost informacija koristeći program Somnia. Grupa FRwL (aka Z-Team) preuzela je odgovornost za neovlašćeno mešanje u rad automatizovanih sistema i elektronskih računarskih mašina. Vladin tim CERT-UA prati aktivnost napadača pod identifikatorom UAC-0118.
Kao dio istrage, stručnjaci su otkrili da je do početne kompromitacije došlo nakon preuzimanja i pokretanja datoteke koja je imala imitirati Napredni softver za IP skener, ali je zapravo sadržavao zlonamjerni softver Vidar. Prema mišljenju stručnjaka, taktika stvaranja kopija službenih resursa i distribucije zlonamjernih programa pod maskom popularnih programa je prerogativ tzv. posrednika za početni pristup (početnicess brokerom).
Također zanimljivo:
„U slučaju konkretno razmatranog incidenta, s obzirom na očiglednu pripadnost ukradenih podataka ukrajinskoj organizaciji, relevantni posrednik je kompromitovane podatke prenio kriminalnoj grupi FRwL u svrhu dalje upotrebe za izvođenje cyber napada, “ kaže studija CERT-UA.
Važno je naglasiti da Vidar kradljivac, između ostalog, krade i podatke o sesiji Telegram. A ako korisnik nema postavljenu dvofaktorsku autentifikaciju i lozinku, napadač može dobiti neovlašteni pristup tom računu. Ispostavilo se da su računi u Telegram koristi se za prijenos konfiguracijskih datoteka VPN veze (uključujući certifikate i podatke o autentifikaciji) korisnicima. A bez dvofaktorske autentifikacije prilikom uspostavljanja VPN veze, napadači su se mogli povezati na tuđu korporativnu mrežu.
Također zanimljivo:
Nakon što su dobili daljinski pristup kompjuterskoj mreži organizacije, napadači su izvršili izviđanje (posebno su koristili Netscan), pokrenuli program Cobalt Strike Beacon i eksfiltrirali podatke. O tome svjedoči korištenje programa Rslone. Osim toga, postoje znakovi pokretanja Anydeska i Ngroka.
Uzimajući u obzir karakteristične taktike, tehnike i kvalifikacije, počevši od proljeća 2022., grupa UAC-0118, uz učešće drugih kriminalnih grupa, uključena je, posebno, u pružanje početnog pristupa i prijenos šifriranih slika Kobalta Strike Beacon program, sproveden nekoliko intervencije u radu kompjuterskih mreža ukrajinskih organizacija.
U isto vrijeme, Somnia malver se također mijenjao. Prva verzija programa koristila je simetrični 3DES algoritam. U drugoj verziji implementiran je AES algoritam. Istovremeno, uzimajući u obzir dinamiku ključa i vektora inicijalizacije, ova verzija Somnije, prema teoretskom planu napadača, ne predviđa mogućnost dešifriranja podataka.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je da donirate sredstva Oružanim snagama Ukrajine putem Savelife ili preko službene stranice NBU.
Također zanimljivo: