Vládny tím pre počítačovú núdzovú reakciu Ukrajiny CERT-UA, ktorý pôsobí v rámci Štátnej služby pre špeciálnu komunikáciu a ochranu informácií (štátna špeciálna komunikácia), vyšetroval skutočnosti porušenia bezúhonnosť informácie po aplikácii škodlivého softvéru.
Tím vyšetroval incident, pri ktorom útočníci zaútočili na integritu a dostupnosť informácií pomocou programu Somnia. Skupina FRwL (aka Z-Team) sa prihlásila k zodpovednosti za neoprávnené zasahovanie do prevádzky automatizovaných systémov a elektronických výpočtových strojov. Vládny tím CERT-UA monitoruje aktivitu útočníkov pod identifikátorom UAC-0118.
V rámci vyšetrovania špecialisti zistili, že k počiatočnému ohrozeniu došlo po stiahnutí a spustení súboru, ktorý mal imitovať Pokročilý softvér IP Scanner, ale v skutočnosti obsahoval malvér Vidar. Taktika vytvárania kópií oficiálnych zdrojov a distribúcie škodlivých programov pod rúškom populárnych programov je podľa odborníkov výsadou takzvaných sprostredkovateľov počiatočného prístupu (initial access maklérom).
Tiež zaujímavé:
„V prípade konkrétne posudzovaného incidentu, vzhľadom na zjavnú príslušnosť odcudzených údajov ukrajinskej organizácii, príslušný sprostredkovateľ odovzdal napadnuté údaje zločineckej skupine FRwL za účelom ich ďalšieho použitia na uskutočnenie kybernetického útoku, “ hovorí štúdia CERT-UA.
Je dôležité zdôrazniť, že vykrádač Vidar okrem iného kradne dáta relácie Telegram. A ak používateľ nemá nastavenú dvojfaktorovú autentifikáciu a prístupový kód, útočník môže získať neoprávnený prístup k tomuto účtu. Ukázalo sa, že účty v Telegram slúži na prenos konfiguračných súborov VPN pripojenia (vrátane certifikátov a autentifikačných údajov) používateľom. A bez dvojfaktorovej autentifikácie pri vytváraní pripojenia VPN sa útočníci mohli pripojiť k podnikovej sieti niekoho iného.
Tiež zaujímavé:
Po získaní vzdialeného prístupu do počítačovej siete organizácie vykonali útočníci prieskum (konkrétne použili Netscan), spustili program Cobalt Strike Beacon a exfiltrovali údaje. Dôkazom toho je použitie programu Rсlone. Okrem toho existujú náznaky spustenia Anydesk a Ngrok.
Berúc do úvahy charakteristické taktiky, techniky a kvalifikácie, od jari 2022 skupina UAC-0118 s účasťou ďalších zločineckých skupín zapojených najmä do poskytovania počiatočného prístupu a prenosu zašifrovaných obrázkov kobaltu Program Strike Beacon, vykonal niekoľko zásahov v práci počítačových sietí ukrajinských organizácií.
Zároveň sa menil aj malvér Somnia. Prvá verzia programu používala symetrický algoritmus 3DES. V druhej verzii bol implementovaný algoritmus AES. Zároveň, berúc do úvahy dynamiku kľúča a inicializačný vektor, táto verzia Somnia podľa teoretického plánu útočníkov neposkytuje možnosť dešifrovania dát.
Môžete pomôcť Ukrajine v boji proti ruským útočníkom. Najlepším spôsobom, ako to urobiť, je darovať finančné prostriedky Ozbrojeným silám Ukrajiny prostredníctvom Zachrániť život alebo cez oficiálnu stránku NBU.
Tiež zaujímavé: