Владин тим за компјутерске хитне случајеве Украјине ЦЕРТ-УА, који делује у оквиру Државне службе за специјалне комуникације и заштиту информација (Државне специјалне комуникације), истражио је чињенице кршења интегритет информације након примене злонамерног софтвера.
Тим је истражио инцидент у којем су нападачи напали интегритет и доступност информација користећи програм Сомниа. Група ФРвЛ (ака З-Теам) преузела је одговорност за неовлашћено мешање у рад аутоматизованих система и електронских рачунарских машина. Владин тим ЦЕРТ-УА прати активност нападача под идентификатором УАЦ-0118.
У оквиру истраге, стручњаци су открили да је до првобитног компромиса дошло након преузимања и покретања датотеке која је имала имитирати Напредни софтвер за ИП скенер, али је заправо садржао малвер Видар. Према експертима, тактика прављења копија званичних ресурса и дистрибуције злонамерних програма под маском популарних програма је прерогатив такозваних посредника за почетни приступ (почетни ацcesс брокер).
Такође занимљиво:
„У случају конкретно разматраног инцидента, с обзиром на очигледну припадност украдених података украјинској организацији, релевантни посредник је компромитоване податке пренео криминалној групи ФРвЛ у сврху даље употребе за извођење сајбер напада, “ каже студија ЦЕРТ-УА.
Важно је нагласити да крадљивац Видара, између осталог, краде и податке о сесији Telegram. А ако корисник нема двофакторску аутентификацију и постављену лозинку, нападач може добити неовлашћен приступ том налогу. Испоставило се да су рачуни у Telegram користи се за пренос конфигурационих датотека ВПН везе (укључујући сертификате и податке о аутентификацији) корисницима. А без двофакторске аутентификације приликом успостављања ВПН везе, нападачи су могли да се повежу на туђу корпоративну мрежу.
Такође занимљиво:
Након што су добили даљински приступ компјутерској мрежи организације, нападачи су извршили извиђање (посебно су користили Нетсцан), покренули програм Цобалт Стрике Беацон и ексфилтрирали податке. О томе сведочи употреба програма Рслоне. Поред тога, постоје знаци покретања Анидеск-а и Нгрока.
Узимајући у обзир карактеристичне тактике, технике и квалификације, почев од пролећа 2022. године, група УАЦ-0118, уз учешће других криминалних група, посебно је укључена у обезбеђивање почетног приступа и пренос шифрованих слика кобалта. Програм Стрике Беацон, спроведен неколико интервенције у раду рачунарских мрежа украјинских организација.
У исто време, малвер Сомниа се такође мењао. Прва верзија програма користила је симетрични 3ДЕС алгоритам. У другој верзији имплементиран је АЕС алгоритам. Истовремено, узимајући у обзир динамику кључа и вектора иницијализације, ова верзија Сомније, према теоретском плану нападача, не предвиђа могућност дешифровања података.
Можете помоћи Украјини да се бори против руских освајача. Најбољи начин да то урадите је да донирате средства Оружаним снагама Украјине путем Савелифе или преко званичне странице НБУ.
Такође занимљиво: