تیم دولتی واکنش اضطراری رایانه ای اوکراین CERT-UA، که تحت سرویس دولتی برای ارتباطات ویژه و حفاظت از اطلاعات (ارتباطات ویژه ایالت) فعالیت می کند، حقایق نقض را بررسی کرد. تمامیت اطلاعات پس از استفاده از نرم افزارهای مخرب
این تیم حادثه ای را بررسی کرد که در آن مهاجمان با استفاده از برنامه Somnia به یکپارچگی و در دسترس بودن اطلاعات حمله کردند. گروه FRwL (با نام مستعار Z-Team) مسئولیت تداخل غیرمجاز در عملکرد سیستم های خودکار و ماشین های محاسبات الکترونیکی را بر عهده گرفت. تیم دولتی CERT-UA بر فعالیت مهاجمان تحت شناسه UAC-0118 نظارت می کند.
به عنوان بخشی از تحقیقات، متخصصان دریافتند که سازش اولیه پس از دانلود و اجرای فایلی رخ داده است تقلید کنید نرم افزار IP Scanner پیشرفته، اما در واقع حاوی بدافزار Vidar بود. به گفته کارشناسان، تاکتیک های ایجاد کپی از منابع رسمی و توزیع برنامه های مخرب تحت عنوان برنامه های محبوب، در انحصار کارگزاران به اصطلاح دسترسی اولیه (initial accesکارگزار s).
همچنین جالب:
«در مورد حادثه مشخصاً در نظر گرفته شده، با توجه به تعلق آشکار اطلاعات سرقت شده به یک سازمان اوکراینی، کارگزار مربوطه داده های در معرض خطر را به منظور استفاده بیشتر برای انجام یک حمله سایبری به گروه جنایی FRwL منتقل کرد. "مطالعه CERT-UA می گوید.
مهم است که تأکید کنیم که دزد Vidar، در میان چیزهای دیگر، دادههای جلسه را میدزدد Telegram. و اگر کاربر احراز هویت دو مرحلهای و رمز عبور تنظیم نشده باشد، مهاجم میتواند به آن حساب دسترسی غیرمجاز پیدا کند. معلوم شد که حساب ها در Telegram برای انتقال فایل های پیکربندی اتصال VPN (از جمله گواهی ها و داده های احراز هویت) به کاربران استفاده می شود. و بدون احراز هویت دو مرحله ای هنگام برقراری اتصال VPN، مهاجمان می توانستند به شبکه شرکتی شخص دیگری متصل شوند.
همچنین جالب:
مهاجمان پس از دسترسی از راه دور به شبکه رایانه ای سازمان، شناسایی انجام دادند (به ویژه از نتسکن استفاده کردند)، برنامه Cobalt Strike Beacon را راه اندازی کردند و داده ها را استخراج کردند. استفاده از برنامه Rсlone این را نشان می دهد. علاوه بر این، نشانه هایی از راه اندازی Anydesk و Ngrok وجود دارد.
با در نظر گرفتن تاکتیک ها، تکنیک ها و صلاحیت های مشخص، از بهار 2022، گروه UAC-0118 با مشارکت سایر گروه های جنایتکار درگیر، به ویژه در ارائه دسترسی اولیه و ارسال تصاویر رمزگذاری شده کبالت برنامه Strike Beacon، چندین مورد را اجرا کرد مداخلات در کار شبکه های کامپیوتری سازمان های اوکراینی.
در همان زمان، بدافزار Somnia نیز در حال تغییر بود. اولین نسخه این برنامه از الگوریتم متقارن 3DES استفاده می کرد. در نسخه دوم الگوریتم AES پیاده سازی شد. در عین حال، با در نظر گرفتن دینامیک کلید و بردار اولیه سازی، این نسخه از Somnia طبق طرح نظری مهاجمان، امکان رمزگشایی داده ها را فراهم نمی کند.
شما می توانید به اوکراین در مبارزه با مهاجمان روسی کمک کنید. بهترین راه برای انجام این کار، کمک مالی به نیروهای مسلح اوکراین است Savelife یا از طریق صفحه رسمی NBU.
همچنین جالب: