Pažeidimo faktus ištyrė Ukrainos Vyriausybės kompiuterinių avarijų grupė CERT-UA, veikianti prie Valstybinės specialiųjų ryšių ir informacijos apsaugos tarnybos (valstybės specialiųjų ryšių). vientisumas informacija po kenkėjiškos programinės įrangos taikymo.
Komanda ištyrė incidentą, kai užpuolikai atakavo informacijos vientisumą ir prieinamumą naudodami Somnia programą. Grupė FRwL (dar žinoma kaip Z-Team) prisiėmė atsakomybę už neteisėtą kišimąsi į automatizuotų sistemų ir elektroninių skaičiavimo mašinų veikimą. Vyriausybės komanda CERT-UA stebi užpuolikų veiklą pagal identifikatorių UAC-0118.
Tyrimo metu specialistai nustatė, kad pradinis kompromisas įvyko atsisiuntus ir paleidus failą, kuriame buvo mėgdžioti Išplėstinė IP skaitytuvo programinė įranga, bet iš tikrųjų joje buvo „Vidar“ kenkėjiška programa. Ekspertų teigimu, oficialių išteklių kopijų kūrimo ir kenkėjiškų programų platinimo, prisidengiant populiariomis programomis, taktika yra vadinamųjų pradinės prieigos brokerių (inicial ac) prerogatyva.cess brokeris).
Taip pat įdomu:
„Konkrečiai aptarto incidento atveju, atsižvelgdamas į akivaizdų pavogtų duomenų priklausymą Ukrainos organizacijai, atitinkamas brokeris perdavė sugadintus duomenis nusikalstamai grupuotei FRwL tolesniam naudojimui kibernetinei atakai vykdyti. “, – sakoma CERT-UA tyrime.
Svarbu pabrėžti, kad „Vidar“ vagystė, be kita ko, vagia seanso duomenis Telegram. Ir jei vartotojas nenustatė dviejų veiksnių autentifikavimo ir prieigos kodo, užpuolikas gali gauti neteisėtą prieigą prie tos paskyros. Paaiškėjo, kad sąskaitos į Telegram naudojamas VPN ryšio konfigūracijos failams (įskaitant sertifikatus ir autentifikavimo duomenis) perduoti vartotojams. Be dviejų veiksnių autentifikavimo užmezgant VPN ryšį, užpuolikai galėjo prisijungti prie kito įmonės tinklo.
Taip pat įdomu:
Gavę nuotolinę prieigą prie organizacijos kompiuterių tinklo, užpuolikai atliko žvalgybą (ypač naudojo Netscan), paleido programą „Cobalt Strike Beacon“ ir išfiltravo duomenis. Tai liudija Rсlone programos naudojimas. Be to, yra Anydesk ir Ngrok paleidimo ženklų.
Atsižvelgiant į būdingą taktiką, metodus ir kvalifikaciją, nuo 2022 m. pavasario UAC-0118 grupė, dalyvaujant kitoms nusikalstamoms grupuotėms, dalyvaujančioms, visų pirma teikiant pirminę prieigą ir perduodant šifruotus Kobalto vaizdus. „Strike Beacon“ programa, kurią atliko keletas intervencijos Ukrainos organizacijų kompiuterių tinklų darbe.
Tuo pačiu metu keitėsi ir Somnia kenkėjiška programa. Pirmojoje programos versijoje buvo naudojamas simetriškas 3DES algoritmas. Antroje versijoje buvo įdiegtas AES algoritmas. Tuo pačiu, atsižvelgiant į rakto dinamiką ir inicijavimo vektorių, ši Somnia versija pagal užpuolikų teorinį planą nenumato duomenų iššifravimo galimybės.
Jūs galite padėti Ukrainai kovoti su Rusijos įsibrovėliais. Geriausias būdas tai padaryti – aukoti lėšas Ukrainos ginkluotosioms pajėgoms per Išgelbėk gyvybę arba per oficialų puslapį NBU.
Taip pat įdomu: