A Equipe de Resposta a Emergências Informáticas do Governo da Ucrânia CERT-UA, que opera sob o Serviço Estadual de Comunicações Especiais e Proteção de Informações (Comunicações Especiais do Estado), investigou os fatos da violação integridade informações após a aplicação de software malicioso.
A equipe investigou um incidente no qual invasores atacaram a integridade e a disponibilidade de informações usando o programa Somnia. O grupo FRwL (também conhecido como Z-Team) reivindicou a responsabilidade por interferência não autorizada na operação de sistemas automatizados e máquinas de computação eletrônica. A equipe do governo CERT-UA monitora a atividade de invasores sob o identificador UAC-0118.
Como parte da investigação, os especialistas descobriram que o comprometimento inicial ocorreu após o download e a execução de um arquivo que havia imitar Software avançado de scanner IP, mas na verdade continha o malware Vidar. Segundo especialistas, as táticas de criação de cópias de recursos oficiais e distribuição de programas maliciosos sob o disfarce de programas populares são prerrogativa dos chamados corretores de acesso inicial (ac inicialcesé corretor).
Também interessante:
"No caso do incidente especificamente considerado, tendo em vista a óbvia pertença dos dados roubados a uma organização ucraniana, o corretor relevante transferiu os dados comprometidos para o grupo criminoso FRwL para fins de uso posterior para realizar um ataque cibernético, " afirma o estudo do CERT-UA.
É importante enfatizar que o ladrão Vidar, entre outras coisas, rouba dados da sessão Telegram. E se o usuário não tiver autenticação de dois fatores e uma senha configurada, um invasor pode obter acesso não autorizado a essa conta. Descobriu-se que as contas em Telegram usado para transferir arquivos de configuração de conexão VPN (incluindo certificados e dados de autenticação) para usuários. E sem a autenticação de dois fatores ao estabelecer uma conexão VPN, os invasores conseguiram se conectar à rede corporativa de outra pessoa.
Também interessante:
Depois de obter acesso remoto à rede de computadores da organização, os invasores realizaram reconhecimento (em particular, eles usaram o Netscan), lançaram o programa Cobalt Strike Beacon e extraíram dados. Isso é evidenciado pelo uso do programa Rсlone. Além disso, há sinais de lançamento do Anydesk e do Ngrok.
Tendo em conta as táticas, técnicas e qualificações características, a partir da primavera de 2022, o grupo UAC-0118, com a participação de outros grupos criminosos envolvidos, em particular, no fornecimento de acesso inicial e transmissão de imagens criptografadas do Cobalt programa Strike Beacon, realizou vários intervenções no trabalho de redes de computadores de organizações ucranianas.
Ao mesmo tempo, o malware Somnia também estava mudando. A primeira versão do programa usava o algoritmo 3DES simétrico. Na segunda versão, o algoritmo AES foi implementado. Ao mesmo tempo, levando em consideração a dinâmica da chave e do vetor de inicialização, esta versão do Somnia, de acordo com o plano teórico dos invasores, não prevê a possibilidade de descriptografia de dados.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.
Também interessante: