Tölvuneyðarviðbragðsteymi ríkisins í Úkraínu CERT-UA, sem starfar undir ríkisþjónustunni fyrir sérstök fjarskipti og upplýsingavernd (sérstök fjarskipti ríkisins), rannsakaði staðreyndir brotsins heilindi upplýsingar eftir beitingu skaðlegs hugbúnaðar.
Teymið rannsakaði atvik þar sem árásarmenn réðust á heiðarleika og aðgengi upplýsinga með Somnia forritinu. Hópurinn FRwL (aka Z-Team) lýsti yfir ábyrgð á óviðkomandi truflun á rekstri sjálfvirkra kerfa og rafrænna tölvuvéla. Stjórnarliðið CERT-UA fylgist með virkni árásarmanna undir auðkenninu UAC-0118.
Sem hluti af rannsókninni komust sérfræðingar að því að upphaflega málamiðlunin átti sér stað eftir að hafa hlaðið niður og keyrt skrá sem hafði herma eftir Háþróaður IP Scanner hugbúnaður, en innihélt reyndar Vidar spilliforritið. Samkvæmt sérfræðingum eru aðferðirnar við að búa til afrit af opinberum auðlindum og dreifa skaðlegum forritum undir skjóli vinsælra forrita forréttindi svokallaðra miðlara fyrir upphafsaðgang (upphafsaðgangur).cess miðlari).
Einnig áhugavert:
„Í tilviki atviksins sem sérstaklega er skoðað, í ljósi þess að úkraínsk stofnun tilheyrir gögnunum sem stolið er augljóslega, flutti viðkomandi miðlari gögnin sem voru í hættu til glæpahópsins FRwL í þeim tilgangi að nota frekar til að framkvæma netárás, “ segir í CERT-UA rannsókninni.
Mikilvægt er að árétta að Viðar-þjófnaðurinn stelur meðal annars setugögnum Telegram. Og ef notandinn er ekki með tveggja þátta auðkenningu og aðgangskóða stilltan getur árásarmaður fengið óviðkomandi aðgang að þeim reikningi. Í ljós kom að reikningar í Telegram notað til að flytja VPN-tengingarstillingarskrár (þar á meðal vottorð og auðkenningargögn) til notenda. Og án tveggja þátta auðkenningar þegar komið var á VPN-tengingu gátu árásarmenn tengst fyrirtækisneti einhvers annars.
Einnig áhugavert:
Eftir að hafa fengið fjaraðgang að tölvuneti samtakanna, stunduðu árásarmennirnir könnun (sérstaklega notuðu þeir Netscan), hófu Cobalt Strike Beacon forritið og súðuðu gögnum. Þetta sést af notkun Rсlone forritsins. Að auki eru merki um að Anydesk og Ngrok séu ræst.
Að teknu tilliti til einkennandi aðferða, tækni og hæfis, frá og með vorinu 2022, UAC-0118 hópurinn, með þátttöku annarra glæpahópa sem taka þátt, einkum í að veita upphafsaðgang og sendingu dulkóðaðra mynda af kóbaltinu Strike Beacon dagskrá, stjórnaði nokkrum inngrip í starfi tölvuneta úkraínskra stofnana.
Á sama tíma var Somnia malware einnig að breytast. Fyrsta útgáfan af forritinu notaði samhverfa 3DES reikniritið. Í annarri útgáfunni var AES reikniritið innleitt. Á sama tíma, að teknu tilliti til gangverki lykilsins og upphafsvigursins, gerir þessi útgáfa af Somnia, samkvæmt fræðilegri áætlun árásarmannanna, ekki möguleika á gagnaafkóðun.
Þú getur hjálpað Úkraínu að berjast gegn rússnesku innrásarhernum. Besta leiðin til að gera þetta er að gefa fé til hersins í Úkraínu í gegnum Bjarga lífi eða í gegnum opinberu síðuna NBU.
Einnig áhugavert: