L'équipe gouvernementale ukrainienne d'intervention en cas d'urgence informatique CERT-UA, qui relève du Service d'État pour les communications spéciales et la protection de l'information (communications spéciales de l'État), a enquêté sur les faits de la violation. intégrité informations après l'application d'un logiciel malveillant.
L'équipe a enquêté sur un incident au cours duquel des attaquants ont attaqué l'intégrité et la disponibilité d'informations à l'aide du programme Somnia. Le groupe FRwL (alias Z-Team) a revendiqué l'ingérence non autorisée dans le fonctionnement des systèmes automatisés et des machines informatiques électroniques. L'équipe gouvernementale CERT-UA surveille l'activité des attaquants sous l'identifiant UAC-0118.
Dans le cadre de l'enquête, les spécialistes ont découvert que la compromission initiale s'était produite après le téléchargement et l'exécution d'un fichier contenant imiter Logiciel Advanced IP Scanner, mais contenait en fait le malware Vidar. Selon les experts, les tactiques consistant à créer des copies de ressources officielles et à distribuer des programmes malveillants sous couvert de programmes populaires sont l'apanage de ce que l'on appelle les courtiers d'accès initial (initial access courtier).
Intéressant aussi :
"Dans le cas de l'incident spécifiquement considéré, compte tenu de l'appartenance évidente des données volées à une organisation ukrainienne, le courtier concerné a transféré les données compromises au groupe criminel FRwL dans le but de les utiliser ultérieurement pour mener une cyberattaque, " indique l'étude du CERT-UA.
Il est important de souligner que le voleur Vidar, entre autres, vole des données de session Telegram. Et si l'utilisateur ne dispose pas d'une authentification à deux facteurs et d'un mot de passe configuré, un attaquant peut obtenir un accès non autorisé à ce compte. Il s'est avéré que les comptes dans Telegram utilisé pour transférer les fichiers de configuration de connexion VPN (y compris les certificats et les données d'authentification) aux utilisateurs. Et sans authentification à deux facteurs lors de l'établissement d'une connexion VPN, les attaquants pouvaient se connecter au réseau d'entreprise de quelqu'un d'autre.
Intéressant aussi :
Après avoir obtenu un accès à distance au réseau informatique de l'organisation, les attaquants ont effectué des reconnaissances (ils ont notamment utilisé Netscan), lancé le programme Cobalt Strike Beacon et exfiltré des données. Ceci est démontré par l'utilisation du programme Rсlone. De plus, il y a des signes de lancement d'Anydesk et de Ngrok.
Compte tenu des tactiques, techniques et qualifications caractéristiques, à partir du printemps 2022, le groupe UAC-0118, avec la participation d'autres groupes criminels impliqués, notamment, dans la fourniture d'un accès initial et de la transmission d'images cryptées du Cobalt programme Strike Beacon, mené plusieurs interventions dans le travail des réseaux informatiques des organisations ukrainiennes.
Dans le même temps, le malware Somnia changeait également. La première version du programme utilisait l'algorithme 3DES symétrique. Dans la deuxième version, l'algorithme AES a été implémenté. Dans le même temps, compte tenu de la dynamique de la clé et du vecteur d'initialisation, cette version de Somnia, selon le plan théorique des attaquants, ne prévoit pas la possibilité de déchiffrement des données.
Vous pouvez aider l'Ukraine à lutter contre les envahisseurs russes. La meilleure façon de le faire est de faire don de fonds aux forces armées ukrainiennes par le biais de Sauver la vie ou via la page officielle NBU.
Intéressant aussi :