Vládní tým pro počítačovou nouzovou reakci Ukrajiny CERT-UA, který působí v rámci Státní služby pro speciální komunikaci a ochranu informací (State Special Communications), vyšetřoval skutečnosti porušení integrita informace po použití škodlivého softwaru.
Tým vyšetřoval incident, při kterém útočníci zaútočili na integritu a dostupnost informací pomocí programu Somnia. Skupina FRwL (aka Z-Team) se přihlásila k odpovědnosti za neoprávněné zásahy do provozu automatizovaných systémů a elektronických počítacích strojů. Vládní tým CERT-UA monitoruje aktivitu útočníků pod identifikátorem UAC-0118.
V rámci vyšetřování specialisté zjistili, že k původnímu ohrožení došlo po stažení a spuštění souboru, který měl napodobit Pokročilý software IP Scanner, ale ve skutečnosti obsahoval malware Vidar. Taktika vytváření kopií oficiálních zdrojů a distribuce škodlivých programů pod rouškou populárních programů je podle odborníků výsadou takzvaných zprostředkovatelů počátečního přístupu (initial access makléřem).
Zajímavé také:
„V případě konkrétně posuzovaného incidentu, s ohledem na zjevnou příslušnost odcizených dat ukrajinské organizaci, předal příslušný zprostředkovatel napadená data zločinecké skupině FRwL za účelem dalšího využití k provedení kybernetického útoku, “ říká studie CERT-UA.
Je důležité zdůraznit, že zloděj Vidar mimo jiné krade data relace Telegram. A pokud uživatel nemá nastavenou dvoufaktorovou autentizaci a přístupový kód, může útočník získat neoprávněný přístup k tomuto účtu. Ukázalo se, že účty v Telegram slouží k přenosu konfiguračních souborů VPN připojení (včetně certifikátů a autentizačních dat) uživatelům. A bez dvoufaktorové autentizace při navazování připojení VPN se útočníci mohli připojit k podnikové síti někoho jiného.
Zajímavé také:
Po získání vzdáleného přístupu do počítačové sítě organizace provedli útočníci průzkum (zejména použili Netscan), spustili program Cobalt Strike Beacon a exfiltrovali data. Svědčí o tom použití programu Rсlone. Navíc existují známky spuštění Anydesku a Ngroku.
S ohledem na charakteristické taktiky, techniky a kvalifikace, počínaje jarem 2022, skupina UAC-0118 za účasti dalších zločineckých skupin zapojených zejména do poskytování počátečního přístupu a přenosu šifrovaných obrázků kobaltu Program Strike Beacon, provedl několik zásahy v práci počítačových sítí ukrajinských organizací.
Ve stejné době se také měnil malware Somnia. První verze programu používala symetrický algoritmus 3DES. Ve druhé verzi byl implementován algoritmus AES. Zároveň s přihlédnutím k dynamice klíče a inicializačního vektoru tato verze Somnia podle teoretického plánu útočníků nepočítá s možností dešifrování dat.
Můžete pomoci Ukrajině v boji proti ruským vetřelcům. Nejlepším způsobem, jak toho dosáhnout, je darovat finanční prostředky ozbrojeným silám Ukrajiny prostřednictvím Zachraňte život nebo přes oficiální stránku NBÚ.
Zajímavé také: