Vladna ekipa za odzivanje na računalniške nujne primere Ukrajine CERT-UA, ki deluje v okviru Državne službe za posebne komunikacije in zaščito informacij (Državna posebna komunikacija), je raziskala dejstva kršitve celovitost informacije po uporabi zlonamerne programske opreme.
Ekipa je preiskala incident, v katerem so napadalci s programom Somnia napadli celovitost in razpoložljivost informacij. Skupina FRwL (aka Z-Team) je prevzela odgovornost za nepooblaščeno vmešavanje v delovanje avtomatiziranih sistemov in elektronskih računalniških strojev. Vladna ekipa CERT-UA spremlja aktivnost napadalcev pod identifikatorjem UAC-0118.
V okviru preiskave so strokovnjaki ugotovili, da je do začetne ogroženosti prišlo po prenosu in zagonu datoteke, ki je imela posnemati Napredna programska oprema IP Scanner, vendar je dejansko vsebovala zlonamerno programsko opremo Vidar. Po mnenju strokovnjakov je taktika ustvarjanja kopij uradnih virov in distribucije zlonamernih programov pod krinko priljubljenih programov prerogativ tako imenovanih začetnih posrednikov dostopa (initial access posrednikom).
Zanimivo tudi:
»V primeru posebej obravnavanega incidenta je zadevni posrednik glede na očitno pripadnost ukradenih podatkov ukrajinski organizaciji prenesel ogrožene podatke kriminalni združbi FRwL z namenom nadaljnje uporabe za izvedbo kibernetskega napada, « pravi študija CERT-UA.
Pomembno je poudariti, da Vidar stealer med drugim krade podatke o seji Telegram. In če uporabnik nima nastavljene dvofaktorske avtentikacije in gesla, lahko napadalec pridobi nepooblaščen dostop do tega računa. Izkazalo, da so računi v Telegram uporablja se za prenos konfiguracijskih datotek povezave VPN (vključno s potrdili in podatki za preverjanje pristnosti) uporabnikom. In brez dvostopenjske avtentikacije pri vzpostavljanju povezave VPN so se napadalci lahko povezali z omrežjem podjetja nekoga drugega.
Zanimivo tudi:
Po pridobitvi oddaljenega dostopa do računalniškega omrežja organizacije so napadalci izvedli izvidovanje (predvsem so uporabili Netscan), zagnali program Cobalt Strike Beacon in izločili podatke. To dokazuje uporaba programa Rсlone. Poleg tega obstajajo znaki zagona Anydesk in Ngrok.
Ob upoštevanju značilnih taktik, tehnik in kvalifikacij je skupina UAC-2022 od pomladi 0118 ob sodelovanju drugih kriminalnih združb sodelovala zlasti pri zagotavljanju začetnega dostopa in prenosu šifriranih slik kobalta. Program Strike Beacon, izvedel več intervencije pri delu računalniških omrežij ukrajinskih organizacij.
Istočasno se je spreminjala tudi zlonamerna programska oprema Somnia. Prva različica programa je uporabljala simetrični algoritem 3DES. V drugi različici je bil implementiran algoritem AES. Hkrati pa ob upoštevanju dinamike ključa in inicializacijskega vektorja ta različica Somnia po teoretičnem načrtu napadalcev ne predvideva možnosti dešifriranja podatkov.
Lahko pomagate Ukrajini v boju proti ruskim okupatorjem. Najboljši način za to je donacija sredstev oboroženim silam Ukrajine prek Savelife ali preko uradne strani NBU.
Zanimivo tudi: