Maxsus aloqa va axborotni muhofaza qilish davlat xizmati (Davlat maxsus kommunikatsiyalari) huzurida faoliyat yurituvchi Ukraina CERT-UA hukumati kompyuter favqulodda vaziyatlarda harakat qilish guruhi qoidabuzarlik faktlarini tekshirdi. yaxlitlik zararli dasturlarni qo'llashdan keyin ma'lumot.
Jamoa tajovuzkorlar Somnia dasturi yordamida ma'lumotlarning yaxlitligi va mavjudligiga hujum qilgan voqeani tekshirdi. FRwL (aka Z-Team) guruhi avtomatlashtirilgan tizimlar va elektron hisoblash mashinalarining ishlashiga ruxsatsiz aralashish uchun javobgarlikni o‘z zimmasiga oldi. Hukumat CERT-UA guruhi UAC-0118 identifikatori ostida hujumchilarning faoliyatini nazorat qiladi.
Tekshiruv doirasida mutaxassislar dastlabki murosaga ega bo'lgan faylni yuklab olish va ishga tushirishdan keyin sodir bo'lganligini aniqladilar taqlid qilish Kengaytirilgan IP Scanner dasturi, lekin aslida Vidar zararli dasturini o'z ichiga olgan. Mutaxassislarning fikriga ko'ra, rasmiy manbalarning nusxalarini yaratish va mashhur dasturlar niqobi ostida zararli dasturlarni tarqatish taktikasi boshlang'ich kirish brokerlari deb ataladigan vakolatdir (boshlang'ich ac.cess broker).
Shuningdek, qiziqarli:
“Alohida koʻrib chiqilgan voqea boʻyicha, oʻgʻirlangan maʼlumotlarning Ukraina tashkilotiga tegishli ekanligi aniq boʻlganligi sababli, tegishli broker buzib tashlangan maʼlumotlarni FRwL jinoiy guruhiga keyinchalik kiberhujumni amalga oshirish maqsadida oʻtkazdi. "deydi CERT-UA tadqiqotida.
Shuni ta'kidlash kerakki, Vidar o'g'irligi, boshqa narsalar qatori, sessiya ma'lumotlarini o'g'irlaydi Telegram. Agar foydalanuvchida ikki faktorli autentifikatsiya va parol o'rnatilgan bo'lmasa, tajovuzkor ushbu hisobga ruxsatsiz kirish huquqiga ega bo'lishi mumkin. Ma'lum bo'lishicha, hisob-kitoblar Telegram VPN ulanish konfiguratsiya fayllarini (shu jumladan sertifikatlar va autentifikatsiya ma'lumotlarini) foydalanuvchilarga o'tkazish uchun ishlatiladi. VPN ulanishini o'rnatishda ikki faktorli autentifikatsiyasiz tajovuzkorlar boshqa birovning korporativ tarmog'iga ulanishi mumkin edi.
Shuningdek, qiziqarli:
Tashkilotning kompyuter tarmog'iga masofadan kirish imkoniga ega bo'lgandan so'ng, hujumchilar razvedka ishlarini olib borishdi (xususan, ular Netscan-dan foydalanishgan), Cobalt Strike Beacon dasturini ishga tushirishgan va ma'lumotlarni olib tashlashgan. Buni Rslone dasturidan foydalanish dalolat beradi. Bundan tashqari, Anydesk va Ngrokni ishga tushirish belgilari mavjud.
Xarakterli taktika, texnika va malakani hisobga olgan holda, 2022 yil bahoridan boshlab, UAC-0118 guruhi boshqa jinoiy guruhlar ishtirokida, xususan, Kobaltning shifrlangan tasvirlariga dastlabki kirish va uzatishni ta'minlash bilan shug'ullanadi. Strike Beacon dasturi, bir nechta o'tkazildi aralashuvlar ukraina tashkilotlarining kompyuter tarmoqlari ishida.
Shu bilan birga, Somnia zararli dasturi ham o'zgarib turardi. Dasturning birinchi versiyasida simmetrik 3DES algoritmidan foydalanilgan. Ikkinchi versiyada AES algoritmi amalga oshirildi. Shu bilan birga, kalit va ishga tushirish vektorining dinamikasini hisobga olgan holda, Somnia-ning ushbu versiyasi, tajovuzkorlarning nazariy rejasiga ko'ra, ma'lumotlarni shifrlash imkoniyatini ta'minlamaydi.
Siz Ukrainaga rus bosqinchilariga qarshi kurashda yordam bera olasiz. Buning eng yaxshi yo'li - Ukraina Qurolli Kuchlariga pul mablag'larini berishdir Savelife yoki rasmiy sahifa orqali NBU.
Shuningdek, qiziqarli: