Echipa guvernamentală de răspuns în caz de urgență informatică a Ucrainei CERT-UA, care funcționează în cadrul Serviciului de stat pentru comunicații speciale și protecție a informațiilor (comunicații speciale de stat), a investigat faptele încălcării. integritate informații după aplicarea de software rău intenționat.
Echipa a investigat un incident în care atacatorii au atacat integritatea și disponibilitatea informațiilor folosind programul Somnia. Grupul FRwL (alias Z-Team) și-a revendicat responsabilitatea pentru interferența neautorizată în funcționarea sistemelor automate și a mașinilor electronice de calcul. Echipa guvernamentală CERT-UA monitorizează activitatea atacatorilor sub identificatorul UAC-0118.
În cadrul anchetei, specialiștii au constatat că compromisul inițial a apărut după descărcarea și rularea unui fișier care avea imita Software avansat de scanare IP, dar conținea de fapt programul malware Vidar. Potrivit experților, tacticile de a crea copii ale resurselor oficiale și de a distribui programe rău intenționate sub masca unor programe populare sunt apanajul așa-numiților brokeri de acces inițial (ac inițial).cesbrokerul lui).
Interesant de asemenea:
„În cazul incidentului analizat în mod special, având în vedere apartenența evidentă a datelor furate unei organizații ucrainene, brokerul relevant a transferat datele compromise grupului infracțional FRwL în scopul utilizării ulterioare pentru a realiza un atac cibernetic, „, spune studiul CERT-UA.
Este important de subliniat că hoțul Vidar, printre altele, fură datele sesiunii Telegram. Și dacă utilizatorul nu are autentificare cu doi factori și o parolă configurată, un atacator poate obține acces neautorizat la acel cont. S-a dovedit că conturile în Telegram utilizat pentru a transfera fișiere de configurare a conexiunii VPN (inclusiv certificate și date de autentificare) către utilizatori. Și fără autentificare cu doi factori la stabilirea unei conexiuni VPN, atacatorii au putut să se conecteze la rețeaua corporativă a altcuiva.
Interesant de asemenea:
După ce au obținut acces la distanță la rețeaua de calculatoare a organizației, atacatorii au efectuat recunoașteri (în special, au folosit Netscan), au lansat programul Cobalt Strike Beacon și au exfiltrat date. Acest lucru este dovedit de utilizarea programului Rсlone. În plus, există semne ale lansării Anydesk și Ngrok.
Ținând cont de tacticile, tehnicile și calificările caracteristice, începând din primăvara anului 2022, grupul UAC-0118, cu participarea altor grupuri criminale implicate, în special, în furnizarea accesului inițial și transmiterea imaginilor criptate ale Cobalt. Programul Strike Beacon, a condus mai multe interventii în activitatea rețelelor de calculatoare ale organizațiilor ucrainene.
În același timp, malware-ul Somnia se schimba. Prima versiune a programului a folosit algoritmul simetric 3DES. În a doua versiune, a fost implementat algoritmul AES. În același timp, ținând cont de dinamica cheii și a vectorului de inițializare, această versiune a Somnia, conform planului teoretic al atacatorilor, nu prevede posibilitatea decriptării datelor.
Poți ajuta Ucraina să lupte împotriva invadatorilor ruși. Cel mai bun mod de a face acest lucru este să donați fonduri Forțelor Armate ale Ucrainei prin intermediul Salveaza viata sau prin pagina oficiala NBU.
Interesant de asemenea: