Državni tim za odgovor na računalne hitne slučajeve Ukrajine CERT-UA, koji djeluje u sklopu Državne službe za posebne komunikacije i zaštitu informacija (Državne posebne komunikacije), istražio je činjenice kršenja integritet informacije nakon primjene zlonamjernog softvera.
Tim je istraživao incident u kojem su napadači napali integritet i dostupnost informacija pomoću programa Somnia. Grupa FRwL (aka Z-Team) preuzela je odgovornost za neovlašteno uplitanje u rad automatiziranih sustava i elektroničkih računalnih strojeva. Vladin tim CERT-UA prati aktivnost napadača pod identifikatorom UAC-0118.
Kao dio istrage, stručnjaci su otkrili da je do početne kompromitacije došlo nakon preuzimanja i pokretanja datoteke koja je imala oponašati Napredni softver IP Scanner, ali zapravo je sadržavao zlonamjerni softver Vidar. Prema stručnjacima, taktike stvaranja kopija službenih resursa i distribucije zlonamjernih programa pod krinkom popularnih programa prerogativ su takozvanih brokera početnog pristupa (početni akcess posrednikom).
Također zanimljivo:
“U slučaju konkretno razmatranog incidenta, s obzirom na očitu pripadnost ukradenih podataka ukrajinskoj organizaciji, relevantni broker je kompromitirane podatke prebacio kriminalnoj skupini FRwL u svrhu daljnjeg korištenja za izvođenje cyber napada, “ kaže studija CERT-UA.
Važno je naglasiti da Vidar stealer, između ostalog, krade podatke o sesijama Telegram. A ako korisnik nema dvofaktorsku autentifikaciju i postavljenu lozinku, napadač može dobiti neovlašteni pristup tom računu. Ispostavilo se da su računi u Telegram koristi se za prijenos konfiguracijskih datoteka VPN veze (uključujući certifikate i podatke o autentifikaciji) korisnicima. I bez dvofaktorske provjere autentičnosti prilikom uspostavljanja VPN veze, napadači su se mogli spojiti na tuđu korporativnu mrežu.
Također zanimljivo:
Nakon što su dobili udaljeni pristup računalnoj mreži organizacije, napadači su proveli izviđanje (konkretno, koristili su Netscan), pokrenuli program Cobalt Strike Beacon i eksfiltrirali podatke. O tome svjedoči korištenje programa Rclone. Osim toga, postoje znakovi pokretanja Anydeska i Ngroka.
Uzimajući u obzir karakteristične taktike, tehnike i kvalifikacije, počevši od proljeća 2022., skupina UAC-0118, uz sudjelovanje drugih kriminalnih skupina uključenih, posebice, u osiguravanje početnog pristupa i prijenos šifriranih slika Cobalta Program Strike Beacon, provedeno nekoliko intervencije u radu računalnih mreža ukrajinskih organizacija.
Istovremeno se mijenjao i zlonamjerni softver Somnia. Prva verzija programa koristila je simetrični 3DES algoritam. U drugoj verziji implementiran je AES algoritam. Istodobno, uzimajući u obzir dinamiku ključa i vektora inicijalizacije, ova verzija Somnije, prema teoretskom planu napadača, ne predviđa mogućnost dešifriranja podataka.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je donirati sredstva Oružanim snagama Ukrajine putem Savelife ili putem službene stranice NBU.
Također zanimljivo: