قام فريق الاستجابة للطوارئ الحاسوبية الحكومي في أوكرانيا CERT-UA ، والذي يعمل تحت إشراف خدمة الدولة للاتصالات الخاصة وحماية المعلومات (الاتصالات الخاصة للدولة) ، بالتحقيق في وقائع الانتهاك النزاهة المعلومات بعد تطبيق البرامج الضارة.
حقق الفريق في حادثة هاجم فيها المهاجمون سلامة المعلومات وتوافرها باستخدام برنامج Somnia. أعلنت مجموعة FRwL (المعروفة أيضًا باسم Z-Team) مسؤوليتها عن التدخل غير المصرح به في تشغيل الأنظمة الآلية وآلات الحوسبة الإلكترونية. يراقب الفريق الحكومي CERT-UA نشاط المهاجمين تحت المعرف UAC-0118.
كجزء من التحقيق ، وجد المتخصصون أن التسوية الأولية حدثت بعد تنزيل وتشغيل ملف يحتوي على التقليد برنامج IP Scanner المتقدم، ولكنه يحتوي في الواقع على برنامج Vidar الضار. وفقا للخبراء، فإن تكتيكات إنشاء نسخ من الموارد الرسمية وتوزيع البرامج الضارة تحت ستار البرامج الشعبية هي من اختصاص ما يسمى وسطاء الوصول الأولي (الوصول الأولي).cesالوسيط).
مثير للاهتمام أيضًا:
"في حالة الحادث الذي تم النظر فيه على وجه التحديد ، وبالنظر إلى الانتماء الواضح للبيانات المسروقة إلى منظمة أوكرانية ، قام السمسار المعني بنقل البيانات المخترقة إلى الجماعة الإجرامية FRwL بغرض مواصلة استخدامها لتنفيذ هجوم إلكتروني ، "تقول دراسة CERT-UA.
من المهم التأكيد على أن سارق Vidar ، من بين أمور أخرى ، يسرق بيانات الجلسة Telegram. وإذا لم يكن لدى المستخدم مصادقة ثنائية وتم إعداد رمز مرور ، فيمكن للمهاجم الحصول على وصول غير مصرح به إلى هذا الحساب. اتضح أن الحسابات في Telegram تستخدم لنقل ملفات تكوين اتصال VPN (بما في ذلك الشهادات وبيانات المصادقة) للمستخدمين. وبدون المصادقة ذات العاملين عند إنشاء اتصال VPN ، كان المهاجمون قادرين على الاتصال بشبكة شركة لشخص آخر.
مثير للاهتمام أيضًا:
بعد الوصول عن بُعد إلى شبكة كمبيوتر المنظمة ، أجرى المهاجمون استطلاعًا (على وجه الخصوص ، استخدموا Netscan) ، وأطلقوا برنامج Cobalt Strike Beacon ، وقاموا بسرقة البيانات. يتضح هذا من خلال استخدام برنامج Rсlone. بالإضافة إلى ذلك ، هناك علامات تدل على إطلاق Anydesk و Ngrok.
مع الأخذ في الاعتبار التكتيكات والتقنيات والمؤهلات المميزة ، بدءًا من ربيع عام 2022 ، قامت مجموعة UAC-0118 ، بمشاركة الجماعات الإجرامية الأخرى المشاركة ، على وجه الخصوص ، في توفير الوصول الأولي ونقل الصور المشفرة للكوبالت برنامج Strike Beacon ، أجرى عدة التدخلات في عمل شبكات الكمبيوتر للمنظمات الأوكرانية.
في الوقت نفسه ، كانت برامج Somnia الضارة تتغير أيضًا. استخدم الإصدار الأول من البرنامج خوارزمية 3DES المتماثل. في الإصدار الثاني ، تم تنفيذ خوارزمية AES. في الوقت نفسه ، مع الأخذ في الاعتبار ديناميكيات المفتاح وناقل التهيئة ، فإن هذا الإصدار من Somnia ، وفقًا للخطة النظرية للمهاجمين ، لا يوفر إمكانية فك تشفير البيانات.
يمكنك مساعدة أوكرانيا في محاربة الغزاة الروس. أفضل طريقة للقيام بذلك هي التبرع بالأموال للقوات المسلحة لأوكرانيا من خلال الحفاظ على الحياة او من خلال الصفحة الرسمية NBU.
مثير للاهتمام أيضًا: