Valtion erityisviestintä- ja tietoturvapalvelun (State Special Communications) alaisuudessa toimiva Ukrainan hallituksen tietokonehätäryhmä CERT-UA tutki rikkomuksen tosiasiat. eheys tietoja haittaohjelmien käytön jälkeen.
Tiimi tutki tapausta, jossa hyökkääjät hyökkäsivät tietojen eheyttä ja saatavuutta vastaan Somnia-ohjelman avulla. Ryhmä FRwL (alias Z-Team) ilmoitti olevansa vastuussa luvattomasta häirinnästä automatisoitujen järjestelmien ja elektronisten laskentakoneiden toimintaan. Hallitusryhmä CERT-UA seuraa hyökkääjien toimintaa tunnisteella UAC-0118.
Osana tutkimusta asiantuntijat havaitsivat, että alkuperäinen kompromissi tapahtui sen jälkeen, kun ladattiin ja suoritettiin tiedosto, joka jäljitellä Advanced IP Scanner -ohjelmisto, mutta sisälsi itse asiassa Vidar-haittaohjelman. Asiantuntijoiden mukaan taktiikka luoda kopioita virallisista resursseista ja levittää haittaohjelmia suosittujen ohjelmien varjolla on niin kutsuttujen alkupääsyn välittäjien (initial ac) etuoikeus.cess välittäjä).
Mielenkiintoista myös:
"Erityisesti harkitun tapahtuman tapauksessa, ottaen huomioon varastettujen tietojen ilmeisen kuulumisen ukrainalaiseen organisaatioon, asianomainen välittäjä siirsi vaarantuneet tiedot rikollisryhmälle FRwL jatkokäyttöä varten kyberhyökkäyksen suorittamiseen, " sanoo CERT-UA:n tutkimus.
On tärkeää korostaa, että Vidar varastaa muun muassa istuntotietoja Telegram. Ja jos käyttäjällä ei ole kaksivaiheista todennusta ja salasanaa asetettuna, hyökkääjä voi saada luvattoman pääsyn kyseiselle tilille. Kävi ilmi, että tilit sisään Telegram käytetään VPN-yhteyden määritystiedostojen (mukaan lukien sertifikaatit ja todennustiedot) siirtämiseen käyttäjille. Ja ilman kaksivaiheista todennusta VPN-yhteyttä luotaessa hyökkääjät pystyivät muodostamaan yhteyden jonkun toisen yrityksen verkkoon.
Mielenkiintoista myös:
Saatuaan etäyhteyden organisaation tietokoneverkkoon hyökkääjät suorittivat tiedustelut (erityisesti he käyttivät Netscania), käynnistivät Cobalt Strike Beacon -ohjelman ja suodattivat tietoja. Tämän todistaa Rсlone-ohjelman käyttö. Lisäksi on merkkejä Anydeskin ja Ngrokin lanseerauksesta.
Ottaen huomioon tyypilliset taktiikat, tekniikat ja pätevyydet, keväästä 2022 alkaen, UAC-0118-ryhmä, johon osallistuvat muut rikollisryhmät, jotka osallistuvat erityisesti koboltin salattujen kuvien alkupääsyn tarjoamiseen ja lähettämiseen. Strike Beacon -ohjelma, jota toteutettiin useita interventioita ukrainalaisten organisaatioiden tietokoneverkkojen työssä.
Samaan aikaan myös Somnia-haittaohjelma muuttui. Ohjelman ensimmäinen versio käytti symmetristä 3DES-algoritmia. Toisessa versiossa toteutettiin AES-algoritmi. Samaan aikaan, kun otetaan huomioon avaimen ja alustusvektorin dynamiikka, tämä Somnian versio hyökkääjien teoreettisen suunnitelman mukaan ei tarjoa mahdollisuutta tietojen salauksen purkamiseen.
Voit auttaa Ukrainaa taistelemaan venäläisiä hyökkääjiä vastaan. Paras tapa tehdä tämä on lahjoittaa varoja Ukrainan asevoimille Pelasta elämä tai virallisen sivun kautta NBU.
Mielenkiintoista myös: