D’imscrúdaigh Foireann Phráinnfhreagartha Ríomhaire an Rialtais san Úcráin CERT-UA, a oibríonn faoin Státseirbhís um Chosaint Speisialta Cumarsáide agus Faisnéise (Cumarsáid Speisialta Stáit), fíricí an tsáraithe. ionracas faisnéis tar éis bogearraí mailíseacha a chur i bhfeidhm.
Rinne an fhoireann imscrúdú ar eachtra inar ionsaigh ionsaitheoirí sláine agus infhaighteacht faisnéise ag baint úsáide as an gclár Somnia. D'éiligh an grúpa FRwL (aka Z-Team) freagracht as cur isteach neamhúdaraithe ar oibriú córais uathoibrithe agus meaisíní ríomhaireachta leictreonacha. Déanann foireann an rialtais CERT-UA monatóireacht ar ghníomhaíocht ionsaitheoirí faoin aitheantóir UAC-0118.
Mar chuid den imscrúdú, fuair speisialtóirí gur tharla an comhréiteach tosaigh tar éis comhad a raibh aithris Ardbhogearraí Scanóir IP, ach bhí an malware Vidar i ndáiríre. De réir na saineolaithe, is sainchumas na bróicéirí rochtana tosaigh, mar a thugtar orthu, iad na tactics maidir le cóipeanna d’acmhainní oifigiúla a chruthú agus cláir mhailíseacha a dháileadh faoi chruth clár móréilimh.cess bróicéir).
Suimiúil freisin:
“I gcás an teagmhais a breithníodh go sonrach, i bhfianaise mhuintearas soiléir na sonraí goidte d’eagraíocht hÚcráine, d’aistrigh an bróicéir ábhartha na sonraí faoi chontúirt chuig an ngrúpa coiriúil FRwL chun críche tuilleadh úsáide chun cibear-ionsaí a dhéanamh, " a deir staidéar CERT-UA.
Tá sé tábhachtach a aibhsiú go steals an stealer Vidar, i measc rudaí eile, sonraí seisiúin Telegram. Agus mura bhfuil fíordheimhniú dhá fhachtóir agus paschód socraithe ag an úsáideoir, is féidir le hionsaitheoir rochtain neamhúdaraithe a fháil ar an gcuntas sin. Iompaigh sé amach go bhfuil na cuntais i Telegram a úsáidtear chun comhaid chumraíochta nasc VPN (lena n-áirítear deimhnithe agus sonraí fíordheimhnithe) a aistriú chuig úsáideoirí. Agus gan fíordheimhniú dhá fhachtóir nuair a bhí nasc VPN á bhunú, bhí ionsaitheoirí in ann ceangal le líonra corparáideach duine eile.
Suimiúil freisin:
Tar éis dóibh cianrochtain a fháil ar líonra ríomhairí na heagraíochta, rinne na hionsaitheoirí taiscéalaíocht (go háirithe, d’úsáid siad Netscan), sheol siad an clár Cobalt Strike Beacon, agus rinne siad sonraí a dhíspreagadh. Is léir seo trí úsáid a bhaint as an gclár Rсlone. Ina theannta sin, tá comharthaí ann go bhfuil Anydesk agus Ngrok ag seoladh.
Agus na tactics, na teicnící agus na cáilíochtaí tréithiúla á gcur san áireamh, ag tosú in earrach na bliana 2022, chuir an grúpa UAC-0118, le rannpháirtíocht grúpaí coiriúla eile a bhfuil baint acu, go háirithe, le rochtain tosaigh agus tarchur íomhánna criptithe den Chóbalt. Stailc Beacon clár, a rinneadh roinnt idirghabhálacha in obair líonraí ríomhaireachta na n-eagraíochtaí Úcráinis.
Ag an am céanna, bhí an malware Somnia ag athrú freisin. Bhain an chéad leagan den chlár úsáid as an algartam siméadrach 3DES. Sa dara leagan, cuireadh an algartam AES i bhfeidhm. Ag an am céanna, ag cur san áireamh dinimic an eochair agus an veicteora tosaigh, ní dhéanann an leagan seo de Somnia, de réir phlean teoiriciúil an ionsaitheoirí, foráil maidir le féidearthacht díchriptiú sonraí.
Is féidir leat cabhrú leis an Úcráin troid i gcoinne ionróirí na Rúise. Is é an bealach is fearr chun é seo a dhéanamh ná cistí a bhronnadh ar Fhórsaí Armtha na hÚcráine tríd Saol a shábháil nó tríd an leathanach oifigiúil NBU.
Suimiúil freisin: