Η Κυβερνητική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας CERT-UA, η οποία λειτουργεί υπό την Κρατική Υπηρεσία Ειδικών Επικοινωνιών και Προστασίας Πληροφοριών (State Special Communications), διερεύνησε τα γεγονότα της παραβίασης ακεραιότητα πληροφορίες μετά την εφαρμογή κακόβουλου λογισμικού.
Η ομάδα ερεύνησε ένα περιστατικό στο οποίο οι επιτιθέμενοι επιτέθηκαν στην ακεραιότητα και τη διαθεσιμότητα των πληροφοριών χρησιμοποιώντας το πρόγραμμα Somnia. Η ομάδα FRwL (γνωστή και ως Z-Team) ανέλαβε την ευθύνη για μη εξουσιοδοτημένη παρέμβαση στη λειτουργία αυτοματοποιημένων συστημάτων και ηλεκτρονικών υπολογιστικών μηχανών. Η κυβερνητική ομάδα CERT-UA παρακολουθεί τη δραστηριότητα των εισβολέων με το αναγνωριστικό UAC-0118.
Στο πλαίσιο της έρευνας, οι ειδικοί διαπίστωσαν ότι ο αρχικός συμβιβασμός έγινε μετά τη λήψη και εκτέλεση ενός αρχείου που είχε μιμούμαι Προηγμένο λογισμικό IP Scanner, αλλά στην πραγματικότητα περιείχε το κακόβουλο λογισμικό Vidar. Σύμφωνα με τους ειδικούς, οι τακτικές δημιουργίας αντιγράφων επίσημων πόρων και διανομής κακόβουλων προγραμμάτων υπό το πρόσχημα δημοφιλών προγραμμάτων είναι προνόμιο των λεγόμενων αρχικών μεσιτών πρόσβασης (αρχική ακ.cesμεσίτης).
Επίσης ενδιαφέρον:
«Στην περίπτωση του ειδικά εξεταζόμενου περιστατικού, ενόψει της προφανούς ιδιοκτησίας των κλεμμένων δεδομένων σε ουκρανική οργάνωση, ο σχετικός μεσίτης μετέφερε τα παραβιασμένα δεδομένα στην εγκληματική ομάδα FRwL με σκοπό περαιτέρω χρήση για την πραγματοποίηση κυβερνοεπίθεσης, " λέει η μελέτη CERT-UA.
Είναι σημαντικό να τονιστεί ότι ο κλέφτης Vidar, μεταξύ άλλων, κλέβει δεδομένα συνεδρίας Telegram. Και αν ο χρήστης δεν διαθέτει έλεγχο ταυτότητας δύο παραγόντων και έχει ρυθμίσει έναν κωδικό πρόσβασης, ένας εισβολέας μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αυτόν τον λογαριασμό. Αποδείχθηκε ότι οι λογαριασμοί σε Telegram χρησιμοποιείται για τη μεταφορά αρχείων διαμόρφωσης σύνδεσης VPN (συμπεριλαμβανομένων πιστοποιητικών και δεδομένων ελέγχου ταυτότητας) στους χρήστες. Και χωρίς έλεγχο ταυτότητας δύο παραγόντων κατά τη δημιουργία μιας σύνδεσης VPN, οι εισβολείς μπορούσαν να συνδεθούν στο εταιρικό δίκτυο κάποιου άλλου.
Επίσης ενδιαφέρον:
Αφού απέκτησαν απομακρυσμένη πρόσβαση στο δίκτυο υπολογιστών της οργάνωσης, οι επιτιθέμενοι πραγματοποίησαν αναγνώριση (συγκεκριμένα, χρησιμοποίησαν το Netscan), ξεκίνησαν το πρόγραμμα Cobalt Strike Beacon και διέφυγαν δεδομένα. Αυτό αποδεικνύεται από τη χρήση του προγράμματος Rсlone. Επιπλέον, υπάρχουν σημάδια εκτόξευσης των Anydesk και Ngrok.
Λαμβάνοντας υπόψη τις χαρακτηριστικές τακτικές, τεχνικές και προσόντα, ξεκινώντας την άνοιξη του 2022, η ομάδα UAC-0118, με τη συμμετοχή άλλων εγκληματικών ομάδων που εμπλέκονται, ειδικότερα, στην παροχή αρχικής πρόσβασης και μετάδοσης κρυπτογραφημένων εικόνων του Cobalt Πρόγραμμα Strike Beacon, διεξήχθη πολλά παρεμβάσεις στο έργο των δικτύων υπολογιστών των ουκρανικών οργανισμών.
Την ίδια στιγμή, το κακόβουλο λογισμικό Somnia άλλαζε επίσης. Η πρώτη έκδοση του προγράμματος χρησιμοποιούσε τον συμμετρικό αλγόριθμο 3DES. Στη δεύτερη έκδοση, εφαρμόστηκε ο αλγόριθμος AES. Ταυτόχρονα, λαμβάνοντας υπόψη τη δυναμική του κλειδιού και το διάνυσμα αρχικοποίησης, αυτή η έκδοση του Somnia, σύμφωνα με το θεωρητικό σχέδιο των επιτιθέμενων, δεν προβλέπει τη δυνατότητα αποκρυπτογράφησης δεδομένων.
Μπορείτε να βοηθήσετε την Ουκρανία να πολεμήσει ενάντια στους Ρώσους εισβολείς. Ο καλύτερος τρόπος για να γίνει αυτό είναι να δωρίσετε χρήματα στις Ένοπλες Δυνάμεις της Ουκρανίας μέσω Savelife ή μέσω της επίσημης σελίδας NBU.
Επίσης ενδιαφέρον: