La squadra di risposta alle emergenze informatiche del governo dell'Ucraina CERT-UA, che opera nell'ambito del servizio statale per le comunicazioni speciali e la protezione delle informazioni (comunicazioni speciali statali), ha indagato sui fatti della violazione integrità informazioni dopo l'applicazione di software dannoso.
Il team ha indagato su un incidente in cui gli aggressori hanno attaccato l'integrità e la disponibilità delle informazioni utilizzando il programma Somnia. Il gruppo FRwL (alias Z-Team) ha rivendicato la responsabilità per interferenze non autorizzate nel funzionamento di sistemi automatizzati e macchine informatiche elettroniche. Il team governativo CERT-UA monitora l'attività degli aggressori con l'identificatore UAC-0118.
Nell'ambito dell'indagine, gli specialisti hanno scoperto che la compromissione iniziale si è verificata dopo il download e l'esecuzione di un file che aveva imitare Software Advanced IP Scanner, ma in realtà conteneva il malware Vidar. Secondo gli esperti, la tattica di creare copie di risorse ufficiali e distribuire programmi dannosi sotto le spoglie di programmi popolari è prerogativa dei cosiddetti broker di accesso iniziale (initial access broker).
Interessante anche:
"Nel caso dell'incidente specificamente considerato, in considerazione dell'ovvia appartenenza dei dati rubati a un'organizzazione ucraina, il broker in questione ha trasferito i dati compromessi al gruppo criminale FRwL allo scopo di utilizzarli ulteriormente per effettuare un attacco informatico, afferma lo studio CERT-UA.
È importante sottolineare che il ladro Vidar, tra le altre cose, ruba i dati della sessione Telegram. E se l'utente non dispone dell'autenticazione a due fattori e di un passcode configurato, un utente malintenzionato può ottenere l'accesso non autorizzato a quell'account. Si è scoperto che i conti in Telegram utilizzato per trasferire i file di configurazione della connessione VPN (inclusi certificati e dati di autenticazione) agli utenti. E senza l'autenticazione a due fattori durante la creazione di una connessione VPN, gli aggressori sono stati in grado di connettersi alla rete aziendale di qualcun altro.
Interessante anche:
Dopo aver ottenuto l'accesso remoto alla rete di computer dell'organizzazione, gli aggressori hanno condotto ricognizioni (in particolare, hanno utilizzato Netscan), lanciato il programma Cobalt Strike Beacon ed esfiltrato i dati. Ciò è dimostrato dall'uso del programma Rсlone. Inoltre, ci sono segni del lancio di Anydesk e Ngrok.
Tenendo conto delle caratteristiche tattiche, tecniche e qualifiche, a partire dalla primavera del 2022, il gruppo UAC-0118, con la partecipazione di altri gruppi criminali coinvolti, in particolare, nella fornitura di accesso iniziale e trasmissione di immagini crittografate del Cobalt Programma Strike Beacon, condotto diversi interventi nel lavoro delle reti informatiche delle organizzazioni ucraine.
Allo stesso tempo, anche il malware Somnia stava cambiando. La prima versione del programma utilizzava l'algoritmo 3DES simmetrico. Nella seconda versione è stato implementato l'algoritmo AES. Allo stesso tempo, tenendo conto della dinamica della chiave e del vettore di inizializzazione, questa versione di Somnia, secondo il piano teorico degli aggressori, non prevede la possibilità di decrittazione dei dati.
Puoi aiutare l'Ucraina a combattere contro gli invasori russi. Il modo migliore per farlo è donare fondi alle forze armate ucraine attraverso Salva Vita o tramite la pagina ufficiale NBU.
Interessante anche: