Az ukrán kormányzati számítógépes katasztrófaelhárítási csoport, a CERT-UA, amely a Speciális Kommunikációs és Információvédelmi Állami Szolgálat (State Special Communications) alatt működik, kivizsgálta a jogsértés tényét. sértetlenség rosszindulatú szoftverek alkalmazása utáni információk.
A csapat egy olyan incidenst vizsgált, amelyben a támadók a Somnia program segítségével megtámadták az információk integritását és elérhetőségét. Az FRwL (más néven Z-Team) csoport vállalta a felelősséget az automatizált rendszerek és elektronikus számítástechnikai gépek működésébe való jogosulatlan beavatkozásért. A CERT-UA kormányzati csapat az UAC-0118 azonosító alatt figyeli a támadók tevékenységét.
A vizsgálat részeként a szakértők megállapították, hogy a kezdeti kompromittálódás egy olyan fájl letöltése és futtatása után következett be, amely imitál Fejlett IP-szkenner szoftver, de valójában tartalmazta a Vidar kártevőt. Szakértők szerint a hivatalos források másolatainak létrehozása és a rosszindulatú programok népszerű programok leple alatt történő terjesztése az úgynevezett kezdeti hozzáférési közvetítők (initial ac) kiváltsága.cess bróker).
Szintén érdekes:
„A konkrétan figyelembe vett incidens esetében az ellopott adatok nyilvánvaló ukrán szervezethez való tartozása miatt az érintett bróker a veszélyeztetett adatokat az FRwL bűnözői csoportnak továbbította számítógépes támadás végrehajtása céljából történő további felhasználás céljából, " - mondja a CERT-UA tanulmány.
Fontos hangsúlyozni, hogy a Vidar-lopó többek között munkameneti adatokat is ellop Telegram. Ha pedig a felhasználó nem rendelkezik kéttényezős hitelesítéssel és jelszóval, akkor a támadó jogosulatlanul hozzáférhet a fiókhoz. Kiderült, hogy a számlák a Telegram VPN-kapcsolat konfigurációs fájlok (beleértve a tanúsítványokat és a hitelesítési adatokat) átvitelére használják a felhasználóknak. A VPN-kapcsolat létesítésekor a kéttényezős hitelesítés nélkül a támadók csatlakozhattak valaki más vállalati hálózatához.
Szintén érdekes:
Miután távolról hozzáfértek a szervezet számítógépes hálózatához, a támadók felderítést végeztek (főleg a Netscant használták), elindították a Cobalt Strike Beacon programot, és kiszűrték az adatokat. Ezt bizonyítja az Rсlone program használata. Ezenkívül az Anydesk és az Ngrok piacra dobásának jelei vannak.
Figyelembe véve a jellegzetes taktikákat, technikákat és minősítéseket, 2022 tavaszától az UAC-0118 csoport más bűnözői csoportok részvételével, különösen a Kobaltról készült titkosított képek kezdeti hozzáférésének biztosításában és továbbításában. Strike Beacon program, amelyet többen is végrehajtottak beavatkozások az ukrán szervezetek számítógépes hálózatainak munkájában.
Ezzel egy időben a Somnia kártevő is változott. A program első verziója a szimmetrikus 3DES algoritmust használta. A második változatban az AES algoritmust valósították meg. Ugyanakkor, figyelembe véve a kulcs dinamikáját és az inicializálási vektort, a Somnia ezen verziója a támadók elméleti terve szerint nem biztosítja az adatok visszafejtésének lehetőségét.
Segíthet Ukrajnának az orosz megszállók elleni küzdelemben. Ennek legjobb módja, ha adományokat adományoz az ukrán fegyveres erőknek ezen keresztül Savelife vagy a hivatalos oldalon keresztül NBU.
Szintén érdekes: