צוות תגובת המחשוב הממשלתי של אוקראינה CERT-UA, הפועל תחת השירות הממלכתי לתקשורת מיוחדת והגנה על מידע (תקשורת מיוחדת של המדינה), חקר את עובדות ההפרה יושרה מידע לאחר יישום תוכנה זדונית.
הצוות חקר תקרית שבה תוקפים תקפו את שלמותו וזמינותו של המידע באמצעות תוכנית סומניה. קבוצת FRwL (המכונה Z-Team) לקחה אחריות על התערבות בלתי מורשית בפעולת מערכות אוטומטיות ומכונות מחשוב אלקטרוניות. צוות הממשלה CERT-UA עוקב אחר פעילות התוקפים תחת המזהה UAC-0118.
כחלק מהחקירה, מומחים גילו כי הפשרה הראשונית התרחשה לאחר הורדה והרצה של קובץ שהיה לְחַקוֹת תוכנת סורק IP מתקדמת, אך למעשה הכילה את התוכנה הזדונית של Vidar. לדברי מומחים, הטקטיקה של יצירת עותקים של משאבים רשמיים והפצת תוכניות זדוניות במסווה של תוכניות פופולריות הן זכותם של מה שנקרא מתווכים גישה ראשונית (ac initial accesמתווך של).
מעניין גם:
"במקרה של האירוע שנחשב ספציפית, לאור השייכות הברורה של הנתונים הגנובים לארגון אוקראיני, המתווך הרלוונטי העביר את הנתונים שנפגעו לקבוצת הפשע FRwL לצורך שימוש נוסף לביצוע מתקפת סייבר, " אומר מחקר CERT-UA.
חשוב להדגיש שהגנב וידאר, בין היתר, גונב נתוני הפעלה Telegram. ואם למשתמש אין אימות דו-שלבי וקוד סיסמה מוגדר, תוקף יכול לקבל גישה לא מורשית לחשבון זה. התברר שהחשבונות ב Telegram משמש להעברת קבצי תצורת חיבור VPN (כולל אישורים ונתוני אימות) למשתמשים. וללא אימות דו-גורמי בעת יצירת חיבור VPN, התוקפים הצליחו להתחבר לרשת הארגונית של מישהו אחר.
מעניין גם:
לאחר שהשיג גישה מרחוק לרשת המחשבים של הארגון, התוקפים ערכו סיור (בעיקר השתמשו בנטסקאן), השיקו את תוכנית Cobalt Strike Beacon והוציאו נתונים. עדות לכך היא השימוש בתוכנית Rсlone. בנוסף, ישנם סימנים להשקת Anydesk ו-Ngrok.
בהתחשב בטקטיקות, הטכניקות והכישורים האופייניים, החל מאביב 2022, קבוצת UAC-0118, בהשתתפות קבוצות פליליות אחרות המעורבות, בפרט, במתן גישה ראשונית ושידור של תמונות מוצפנות של הקובלט תוכנית Strike Beacon, ניהל כמה התערבויות בעבודה של רשתות מחשבים של ארגונים אוקראינים.
במקביל, גם התוכנה הזדונית של סומניה השתנתה. הגרסה הראשונה של התוכנית השתמשה באלגוריתם 3DES הסימטרי. בגרסה השנייה, אלגוריתם AES יושם. יחד עם זאת, בהתחשב בדינמיקה של המפתח ושל וקטור האתחול, גרסה זו של סומניה, על פי התוכנית התיאורטית של התוקפים, אינה מספקת אפשרות של פענוח נתונים.
אתה יכול לעזור לאוקראינה להילחם נגד הפולשים הרוסים. הדרך הטובה ביותר לעשות זאת היא לתרום כספים לכוחות המזוינים של אוקראינה באמצעות הצלת חיים או דרך העמוד הרשמי NBU.
מעניין גם: