პარასკევი, 29 მარტი, 2024 წ

დესკტოპის v4.2.1

Root NationНовиниIT სიახლეებიCERT-UA-მ გაარკვია, ვინ განახორციელა კიბერშეტევები უკრაინულ ორგანიზაციებზე

CERT-UA-მ გაარკვია, ვინ განახორციელა კიბერშეტევები უკრაინულ ორგანიზაციებზე

-

უკრაინის სამთავრობო კომპიუტერულმა საგანგებო სიტუაციებზე რეაგირების ჯგუფმა CERT-UA, რომელიც ფუნქციონირებს სპეციალური კომუნიკაციებისა და ინფორმაციის დაცვის სახელმწიფო სამსახურში (სახელმწიფო სპეციალური კომუნიკაციები), გამოიკვლია დარღვევის ფაქტები. მთლიანობას ინფორმაცია მავნე პროგრამული უზრუნველყოფის გამოყენების შემდეგ.

გუნდმა გამოიკვლია ინციდენტი, რომლის დროსაც თავდამსხმელები თავს დაესხნენ ინფორმაციის მთლიანობას და ხელმისაწვდომობას Somnia პროგრამის გამოყენებით. ჯგუფმა FRwL (aka Z-Team) აიღო პასუხისმგებლობა ავტომატური სისტემებისა და ელექტრონული გამოთვლითი მანქანების მუშაობაში არასანქცირებული ჩარევისთვის. სამთავრობო გუნდი CERT-UA აკონტროლებს თავდამსხმელთა აქტივობას UAC-0118 იდენტიფიკატორის ქვეშ.

CERT-UA

გამოძიების ფარგლებში, სპეციალისტებმა დაადგინეს, რომ პირველადი კომპრომისი მოხდა ფაილის ჩამოტვირთვისა და გაშვების შემდეგ, რომელიც ჰქონდა მიბაძავს Advanced IP Scanner პროგრამული უზრუნველყოფა, მაგრამ რეალურად შეიცავდა Vidar მავნე პროგრამას. ექსპერტების აზრით, ოფიციალური რესურსების ასლების შექმნისა და პოპულარული პროგრამების საფარქვეშ მავნე პროგრამების გავრცელების ტაქტიკა ეგრეთ წოდებული საწყისი წვდომის ბროკერების პრეროგატივაა (initial access ბროკერი).

ასევე საინტერესოა:

„კონკრეტულად განხილული ინციდენტის შემთხვევაში, მოპარული მონაცემების აშკარა კუთვნილების გამო უკრაინულ ორგანიზაციას, შესაბამისმა ბროკერმა გადასცა კომპრომეტირებული მონაცემები კრიმინალურ ჯგუფს FRwL, შემდგომი გამოყენების მიზნით კიბერშეტევის განსახორციელებლად. “ ნათქვამია CERT-UA კვლევაში.

VPN

მნიშვნელოვანია ხაზგასმით აღვნიშნოთ, რომ Vidar-ის მპარავი, სხვა საკითხებთან ერთად, იპარავს სესიის მონაცემებს Telegram. და თუ მომხმარებელს არ აქვს ორფაქტორიანი ავთენტიფიკაცია და დაყენებული პაროლის კოდი, თავდამსხმელს შეუძლია მოიპოვოს ამ ანგარიშზე არაავტორიზებული წვდომა. აღმოჩნდა, რომ ანგარიშები ქ Telegram გამოიყენება VPN კავშირის კონფიგურაციის ფაილების (მათ შორის სერთიფიკატები და ავთენტიფიკაციის მონაცემები) მომხმარებლებისთვის გადასაცემად. და VPN კავშირის დამყარებისას ორფაქტორიანი ავთენტიფიკაციის გარეშე, თავდამსხმელებმა შეძლეს სხვის კორპორატიულ ქსელთან დაკავშირება.

ასევე საინტერესოა:

ორგანიზაციის კომპიუტერულ ქსელში დისტანციური წვდომის მოპოვების შემდეგ, თავდამსხმელებმა ჩაატარეს დაზვერვა (კერძოდ, გამოიყენეს Netscan), გამოუშვეს Cobalt Strike Beacon პროგრამა და ამოიღეს მონაცემები. ამას მოწმობს Rсlone პროგრამის გამოყენება. გარდა ამისა, არსებობს Anydesk-ისა და Ngrok-ის გაშვების ნიშნები.

კიბერ შეტევა

დამახასიათებელი ტაქტიკის, ტექნიკისა და კვალიფიკაციის გათვალისწინებით, 2022 წლის გაზაფხულიდან დაწყებული UAC-0118 ჯგუფი სხვა კრიმინალური ჯგუფების მონაწილეობით, კერძოდ, კობალტის დაშიფრული სურათების პირველადი წვდომისა და გადაცემის უზრუნველყოფაში. Strike Beacon პროგრამა, ჩატარდა რამდენიმე ინტერვენციები უკრაინული ორგანიზაციების კომპიუტერული ქსელების მუშაობაში.

ამავდროულად, Somnia მავნე პროგრამაც იცვლებოდა. პროგრამის პირველ ვერსიაში გამოიყენებოდა სიმეტრიული 3DES ალგორითმი. მეორე ვერსიაში განხორციელდა AES ალგორითმი. ამავდროულად, გასაღების დინამიკის და ინიციალიზაციის ვექტორის გათვალისწინებით, Somnia-ს ეს ვერსია, თავდამსხმელთა თეორიული გეგმის მიხედვით, არ ითვალისწინებს მონაცემთა გაშიფვრის შესაძლებლობას.

თქვენ შეგიძლიათ დაეხმაროთ უკრაინას რუსი დამპყრობლების წინააღმდეგ ბრძოლაში. ამის საუკეთესო გზაა უკრაინის შეიარაღებული ძალებისთვის თანხების შემოწირულობა Savelife ან ოფიციალური გვერდის საშუალებით NBU.

ასევე საინტერესოა:

დარეგისტრირდით
შეატყობინეთ შესახებ
სასტუმრო

0 კომენტარები
ჩაშენებული მიმოხილვები
ყველა კომენტარის ნახვა
სხვა სტატიები
გამოიწერეთ განახლებები

Ბოლო კომენტარები

პოპულარული ახლა
0
ჩვენ გვიყვარს თქვენი აზრები, გთხოვთ დააკომენტარეთ.x