Tim Tanggap Darurat Komputer Pemerintah Ukraina CERT-UA, yang beroperasi di bawah Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi (Komunikasi Khusus Negara), menyelidiki fakta-fakta pelanggaran integritas informasi setelah penerapan perangkat lunak berbahaya.
Tim menyelidiki insiden di mana penyerang menyerang integritas dan ketersediaan informasi menggunakan program Somnia. Grup FRwL (alias Z-Team) mengaku bertanggung jawab atas interferensi tidak sah dalam pengoperasian sistem otomatis dan mesin komputasi elektronik. Tim pemerintah CERT-UA memantau aktivitas penyerang dengan pengenal UAC-0118.
Sebagai bagian dari penyelidikan, spesialis menemukan bahwa penyusupan awal terjadi setelah mengunduh dan menjalankan file yang ada meniru Perangkat lunak Pemindai IP tingkat lanjut, tetapi sebenarnya berisi malware Vidar. Menurut para ahli, taktik membuat salinan sumber daya resmi dan mendistribusikan program jahat dengan kedok program populer adalah hak prerogatif dari apa yang disebut broker akses awal (initial accesbroker).
Juga menarik:
"Dalam kasus insiden yang dipertimbangkan secara khusus, mengingat data yang dicuri jelas milik organisasi Ukraina, broker terkait mentransfer data yang disusupi ke kelompok kriminal FRwL untuk tujuan penggunaan lebih lanjut untuk melakukan serangan dunia maya, " kata studi CERT-UA.
Penting untuk ditekankan bahwa pencuri Vidar, antara lain, mencuri data sesi Telegram. Dan jika pengguna tidak memiliki autentikasi dua faktor dan pengaturan kode sandi, penyerang dapat memperoleh akses tidak sah ke akun tersebut. Ternyata akun di Telegram digunakan untuk mentransfer file konfigurasi koneksi VPN (termasuk sertifikat dan data autentikasi) ke pengguna. Dan tanpa otentikasi dua faktor saat membuat koneksi VPN, penyerang dapat terhubung ke jaringan perusahaan orang lain.
Juga menarik:
Setelah mendapatkan akses jarak jauh ke jaringan komputer organisasi, penyerang melakukan pengintaian (khususnya, mereka menggunakan Netscan), meluncurkan program Cobalt Strike Beacon, dan mengekstraksi data. Ini dibuktikan dengan penggunaan program Rсlone. Selain itu, ada tanda-tanda peluncuran Anydesk dan Ngrok.
Mempertimbangkan taktik, teknik, dan kualifikasi karakteristik, mulai musim semi 2022, kelompok UAC-0118, dengan partisipasi kelompok kriminal lain yang terlibat, khususnya, dalam penyediaan akses awal dan pengiriman gambar terenkripsi dari Cobalt Program Strike Beacon, dilakukan beberapa kali intervensi dalam pekerjaan jaringan komputer organisasi Ukraina.
Pada saat yang sama, malware Somnia juga berubah. Versi pertama dari program ini menggunakan algoritma 3DES simetris. Pada versi kedua, algoritma AES diimplementasikan. Pada saat yang sama, dengan mempertimbangkan dinamika kunci dan vektor inisialisasi, versi Somnia ini, menurut rencana teoretis penyerang, tidak menyediakan kemungkinan dekripsi data.
Anda dapat membantu Ukraina melawan penjajah Rusia. Cara terbaik untuk melakukannya adalah dengan menyumbangkan dana ke Angkatan Bersenjata Ukraina melalui selamatkan hidup atau melalui halaman resmi NBU.
Juga menarik: