Ուկրաինայի CERT-UA համակարգչային արտակարգ իրավիճակների արձագանքման կառավարական թիմը, որը գործում է Հատուկ կապի և տեղեկատվության պաշտպանության պետական ծառայության (Պետական հատուկ հաղորդակցություն) ներքո, հետաքննել է խախտման փաստերը։ ամբողջականություն տեղեկատվություն վնասակար ծրագրերի կիրառումից հետո:
Թիմը հետաքննել է մի միջադեպ, երբ հարձակվողները հարձակվել են տեղեկատվության ամբողջականության և հասանելիության վրա՝ օգտագործելով Somnia ծրագիրը: FRwL խումբը (aka Z-Team) ստանձնել է ավտոմատացված համակարգերի և էլեկտրոնային հաշվողական մեքենաների աշխատանքին չարտոնված միջամտության պատասխանատվությունը: CERT-UA կառավարական թիմը վերահսկում է հարձակվողների գործունեությունը UAC-0118 նույնականացման ներքո:
Հետաքննության շրջանակներում մասնագետները պարզել են, որ նախնական փոխզիջումը տեղի է ունեցել այն ֆայլը ներբեռնելուց և գործարկելուց հետո, որն ունեցել է ընդօրինակել Ընդլայնված IP սկաներ ծրագրակազմ, բայց իրականում պարունակում էր Vidar չարամիտ ծրագիր: Փորձագետների կարծիքով, պաշտոնական ռեսուրսների պատճենների ստեղծման և հանրաճանաչ ծրագրերի քողի տակ վնասակար ծրագրերի տարածման մարտավարությունը, այսպես կոչված, նախնական մուտքի բրոքերների իրավասությունն է (initial ac.cess բրոքեր):
Հետաքրքիր է նաև.
«Հատուկ դիտարկված միջադեպի դեպքում, նկատի ունենալով գողացված տվյալների ակնհայտ պատկանելությունը ուկրաինական կազմակերպությանը, համապատասխան բրոքերը խախտված տվյալները փոխանցել է FRwL հանցավոր խմբին՝ կիբերհարձակում իրականացնելու համար հետագա օգտագործման նպատակով, », - ասվում է CERT-UA ուսումնասիրության մեջ:
Կարևոր է ընդգծել, որ Vidar-ի գողացողը, ի թիվս այլ բաների, գողանում է սեսիայի տվյալները Telegram. Եվ եթե օգտատերը չունի երկգործոն նույնականացում և տեղադրած գաղտնաբառ, հարձակվողը կարող է չթույլատրված մուտք ունենալ այդ հաշիվ: Պարզվել է, որ հաշիվները ներս Telegram օգտագործվում է VPN կապի կազմաձևման ֆայլերը (ներառյալ վկայագրերը և նույնականացման տվյալները) օգտվողներին փոխանցելու համար: Եվ առանց երկու գործոնով իսկորոշման VPN կապ հաստատելիս հարձակվողները կարողացել են միանալ ուրիշի կորպորատիվ ցանցին:
Հետաքրքիր է նաև.
Կազմակերպության համակարգչային ցանցին հեռահար մուտք ստանալուց հետո հարձակվողները հետախուզություն են իրականացրել (մասնավորապես՝ օգտագործել են Netscan), գործարկել Cobalt Strike Beacon ծրագիրը և տվյալների արտազատում: Այդ մասին է վկայում Rсlone ծրագրի օգտագործումը։ Բացի այդ, կան Anydesk-ի և Ngrok-ի գործարկման նշաններ:
Հաշվի առնելով բնորոշ մարտավարությունը, տեխնիկան և որակավորումը՝ սկսած 2022 թվականի գարնանից, UAC-0118 խումբը՝ ներգրավված այլ հանցավոր խմբերի մասնակցությամբ, մասնավորապես՝ Կոբալտի գաղտնագրված պատկերների սկզբնական հասանելիության և փոխանցման գործում։ Strike Beacon ծրագիր, իրականացվել է մի քանիսը միջամտություններ ուկրաինական կազմակերպությունների համակարգչային ցանցերի աշխատանքում։
Միևնույն ժամանակ փոխվում էր նաև Somnia չարամիտ ծրագիրը։ Ծրագրի առաջին տարբերակում օգտագործվել է սիմետրիկ 3DES ալգորիթմը։ Երկրորդ տարբերակում ներդրվել է AES ալգորիթմը։ Միաժամանակ, հաշվի առնելով բանալու դինամիկան և սկզբնավորման վեկտորը, Somnia-ի այս տարբերակը, հարձակվողների տեսական պլանի համաձայն, չի նախատեսում տվյալների վերծանման հնարավորություն։
Դուք կարող եք օգնել Ուկրաինային պայքարել ռուս զավթիչների դեմ։ Դա անելու լավագույն միջոցը Ուկրաինայի զինված ուժերին միջոցների նվիրաբերումն է Savelife կամ պաշտոնական էջի միջոցով NBU.
Հետաքրքիր է նաև.