Rikkumise fakte uuris Ukraina valitsuse arvutihädaabirühm CERT-UA, mis tegutseb riikliku side- ja teabekaitseteenistuse (State Special Communications) alluvuses. terviklikkus teave pärast ründetarkvara rakendamist.
Meeskond uuris juhtumit, kus ründajad ründasid Somnia programmi abil teabe terviklikkust ja kättesaadavust. Grupp FRwL (teise nimega Z-Team) võttis vastutuse volitamata sekkumise eest automatiseeritud süsteemide ja elektrooniliste arvutusmasinate töösse. Valitsusmeeskond CERT-UA jälgib ründajate tegevust identifikaatori UAC-0118 all.
Uurimise käigus leidsid spetsialistid, et esialgne kompromiss leidis aset pärast faili allalaadimist ja käitamist, jäljendama Täiustatud IP-skanneri tarkvara, kuid sisaldas tegelikult Vidari pahavara. Ekspertide hinnangul on ametlike ressursside koopiate loomise ja pahatahtlike programmide levitamise taktika populaarsete programmide varjus nn esialgsete juurdepääsu vahendajate (initial ac) eesõigus.cess maakler).
Huvitav ka:
"Konkreetselt vaadeldava intsidendi puhul edastas asjaomane maakler varastatud andmete ilmset kuuluvust Ukraina organisatsioonile silmas pidades rikutud andmed kuritegelikule grupeeringule FRwL nende edasiseks kasutamiseks küberrünnaku läbiviimiseks. " ütleb CERT-UA uuring.
Oluline on rõhutada, et Vidari varastaja varastab muu hulgas seansiandmeid Telegram. Ja kui kasutajal pole kahefaktorilist autentimist ja pääsukoodi seadistatud, võib ründaja saada sellele kontole volitamata juurdepääsu. Selgus, et kontod sisse Telegram kasutatakse VPN-ühenduse konfiguratsioonifailide (sh sertifikaatide ja autentimisandmete) edastamiseks kasutajatele. Ja ilma kahefaktorilise autentimiseta VPN-ühenduse loomisel said ründajad luua ühenduse kellegi teise ettevõtte võrguga.
Huvitav ka:
Pärast kaugjuurdepääsu saamist organisatsiooni arvutivõrgule viisid ründajad läbi luure (eelkõige kasutasid nad Netscani), käivitasid programmi Cobalt Strike Beacon ja eksfiltreerisid andmeid. Sellest annab tunnistust Rсlone programmi kasutamine. Lisaks on märke Anydeski ja Ngroki käivitamisest.
Võttes arvesse iseloomulikke taktikaid, tehnikaid ja kvalifikatsiooni, alates 2022. aasta kevadest moodustab UAC-0118 rühmitus teiste kuritegelike rühmituste osalusel, eelkõige koobalti esmase juurdepääsu pakkumise ja krüpteeritud kujutiste edastamisega. Strike Beacon programm, mida viidi läbi mitu sekkumised Ukraina organisatsioonide arvutivõrkude töös.
Samal ajal muutus ka Somnia pahavara. Programmi esimene versioon kasutas sümmeetrilist 3DES-algoritmi. Teises versioonis rakendati AES-i algoritmi. Samal ajal, võttes arvesse võtme ja initsialiseerimisvektori dünaamikat, ei näe see Somnia versioon ründajate teoreetilise plaani kohaselt ette andmete dekrüpteerimise võimalust.
Saate aidata Ukrainal võidelda Vene sissetungijate vastu. Parim viis selleks on annetada raha Ukraina relvajõududele läbi Päästa elu või ametliku lehe kaudu NBU.
Huvitav ka: