Ekipi qeveritar i reagimit ndaj urgjencave kompjuterike të Ukrainës CERT-UA, i cili operon nën Shërbimin Shtetëror për Komunikime Speciale dhe Mbrojtjen e Informacionit (Komunikimet Speciale të Shtetit), hetoi faktet e shkeljes integriteti informacion pas aplikimit të softuerit me qëllim të keq.
Ekipi hetoi një incident në të cilin sulmuesit sulmuan integritetin dhe disponueshmërinë e informacionit duke përdorur programin Somnia. Grupi FRwL (aka Z-Team) mori përgjegjësinë për ndërhyrje të paautorizuara në funksionimin e sistemeve të automatizuara dhe makinerive elektronike informatike. Ekipi qeveritar CERT-UA monitoron aktivitetin e sulmuesve nën identifikuesin UAC-0118.
Në kuadër të hetimit, specialistët konstatuan se kompromisi fillestar ka ndodhur pas shkarkimit dhe ekzekutimit të një skedari që kishte imitoj Softuer i avancuar i skanerit IP, por në fakt përmbante malware Vidar. Sipas ekspertëve, taktikat e krijimit të kopjeve të burimeve zyrtare dhe shpërndarjes së programeve me qëllim të keq nën maskën e programeve të njohura janë prerogativë e të ashtuquajturve ndërmjetës të aksesit fillestar (acis fillestarecess ndërmjetësi).
Gjithashtu interesante:
“Në rastin e incidentit të konsideruar posaçërisht, në funksion të përkatësisë së dukshme të të dhënave të vjedhura në një organizatë ukrainase, ndërmjetësi përkatës i transferoi të dhënat e komprometuara grupit kriminal FRwL me qëllim përdorimin e mëtejshëm për të kryer një sulm kibernetik. “ thotë studimi i CERT-UA.
Është e rëndësishme të theksohet se vjedhësi Vidar, ndër të tjera, vjedh të dhënat e sesionit Telegram. Dhe nëse përdoruesi nuk ka vërtetim me dy faktorë dhe një kod kalimi të vendosur, një sulmues mund të fitojë akses të paautorizuar në atë llogari. Doli se llogaritë në Telegram përdoret për të transferuar skedarët e konfigurimit të lidhjes VPN (përfshirë certifikatat dhe të dhënat e vërtetimit) te përdoruesit. Dhe pa vërtetimin me dy faktorë gjatë krijimit të një lidhjeje VPN, sulmuesit ishin në gjendje të lidhen me rrjetin e korporatës së dikujt tjetër.
Gjithashtu interesante:
Pasi fituan akses në distancë në rrjetin kompjuterik të organizatës, sulmuesit kryen zbulim (në veçanti, ata përdorën Netscan), nisën programin Cobalt Strike Beacon dhe hoqën të dhëna. Kjo dëshmohet nga përdorimi i programit Rсlone. Për më tepër, ka shenja të nisjes së Anydesk dhe Ngrok.
Duke marrë parasysh taktikat, teknikat dhe kualifikimet karakteristike, duke filluar nga pranvera e vitit 2022, grupi UAC-0118, me pjesëmarrjen e grupeve të tjera kriminale të përfshira, në veçanti, në sigurimin e aksesit fillestar dhe transmetimin e imazheve të koduara të Kobaltit. Programi Strike Beacon, i realizuar disa ndërhyrjet në punën e rrjeteve kompjuterike të organizatave ukrainase.
Në të njëjtën kohë, malware Somnia po ndryshonte gjithashtu. Versioni i parë i programit përdori algoritmin simetrik 3DES. Në versionin e dytë, u zbatua algoritmi AES. Në të njëjtën kohë, duke marrë parasysh dinamikën e çelësit dhe vektorin e inicializimit, ky version i Somnia, sipas planit teorik të sulmuesve, nuk parashikon mundësinë e deshifrimit të të dhënave.
Ju mund ta ndihmoni Ukrainën të luftojë kundër pushtuesve rusë. Mënyra më e mirë për ta bërë këtë është të dhuroni fonde për Forcat e Armatosura të Ukrainës përmes Savelife ose përmes faqes zyrtare NBU.
Gjithashtu interesante: