यूक्रेन सीईआरटी-यूए की सरकारी कंप्यूटर आपातकालीन प्रतिक्रिया टीम, जो विशेष संचार और सूचना संरक्षण (राज्य विशेष संचार) के लिए राज्य सेवा के तहत काम करती है, ने उल्लंघन के तथ्यों की जांच की अखंडता दुर्भावनापूर्ण सॉफ़्टवेयर के अनुप्रयोग के बाद जानकारी।
टीम ने एक ऐसी घटना की जाँच की जिसमें हमलावरों ने सोमनिया कार्यक्रम का उपयोग करके सूचना की अखंडता और उपलब्धता पर हमला किया। समूह FRwL (उर्फ जेड-टीम) ने स्वचालित सिस्टम और इलेक्ट्रॉनिक कंप्यूटिंग मशीनों के संचालन में अनधिकृत हस्तक्षेप की जिम्मेदारी ली। सरकारी टीम सीईआरटी-यूए पहचानकर्ता यूएसी-0118 के तहत हमलावरों की गतिविधि पर नजर रखती है।
जांच के हिस्से के रूप में, विशेषज्ञों ने पाया कि प्रारंभिक समझौता एक फाइल को डाउनलोड करने और चलाने के बाद हुआ था नकल करना उन्नत आईपी स्कैनर सॉफ़्टवेयर, लेकिन वास्तव में इसमें विदर मैलवेयर शामिल था। विशेषज्ञों के अनुसार, लोकप्रिय कार्यक्रमों की आड़ में आधिकारिक संसाधनों की प्रतियां बनाने और दुर्भावनापूर्ण कार्यक्रमों को वितरित करने की रणनीति तथाकथित प्रारंभिक पहुंच दलालों (प्रारंभिक एसी) का विशेषाधिकार हैcesब्रोकर)।
यह भी दिलचस्प:
"विशेष रूप से विचार की गई घटना के मामले में, एक यूक्रेनी संगठन से चोरी किए गए डेटा के स्पष्ट संबंध के मद्देनजर, संबंधित ब्रोकर ने साइबर हमले को अंजाम देने के लिए आगे उपयोग के उद्देश्य से समझौता किए गए डेटा को आपराधिक समूह FRwL में स्थानांतरित कर दिया, " सीईआरटी-यूए अध्ययन कहता है।
इस बात पर जोर देना महत्वपूर्ण है कि विडार चोरी करने वाला, अन्य बातों के अलावा, सत्र डेटा चुराता है Telegram. और अगर उपयोगकर्ता के पास टू-फैक्टर ऑथेंटिकेशन और पासकोड सेट अप नहीं है, तो एक हमलावर उस खाते तक अनधिकृत पहुंच प्राप्त कर सकता है। यह पता चला कि खातों में Telegram उपयोगकर्ताओं को वीपीएन कनेक्शन कॉन्फ़िगरेशन फ़ाइलें (प्रमाण पत्र और प्रमाणीकरण डेटा सहित) स्थानांतरित करने के लिए उपयोग किया जाता है। और वीपीएन कनेक्शन स्थापित करते समय दो-कारक प्रमाणीकरण के बिना, हमलावर किसी और के कॉर्पोरेट नेटवर्क से जुड़ने में सक्षम थे।
यह भी दिलचस्प:
संगठन के कंप्यूटर नेटवर्क तक दूरस्थ पहुंच प्राप्त करने के बाद, हमलावरों ने टोही का संचालन किया (विशेष रूप से, उन्होंने नेटस्कैन का इस्तेमाल किया), कोबाल्ट स्ट्राइक बीकन प्रोग्राम लॉन्च किया और डेटा का बहिष्कार किया। Rсlone प्रोग्राम के उपयोग से इसका प्रमाण मिलता है। इसके अतिरिक्त, Anydesk और Ngrok लॉन्चिंग के संकेत हैं।
2022 के वसंत में शुरू होने वाली विशेषता रणनीति, तकनीक और योग्यता को ध्यान में रखते हुए, UAC-0118 समूह, अन्य आपराधिक समूहों की भागीदारी के साथ, विशेष रूप से, कोबाल्ट की एन्क्रिप्टेड छवियों की प्रारंभिक पहुंच और प्रसारण के प्रावधान में हड़ताल बीकन कार्यक्रम, कई का आयोजन किया हस्तक्षेप यूक्रेनी संगठनों के कंप्यूटर नेटवर्क के काम में।
वहीं, सोमनिया मालवेयर भी बदल रहा था। कार्यक्रम के पहले संस्करण में सममित 3DES एल्गोरिथम का उपयोग किया गया था। दूसरे संस्करण में, एईएस एल्गोरिथम लागू किया गया था। साथ ही, हमलावरों की सैद्धांतिक योजना के मुताबिक, कुंजी और प्रारंभिक वेक्टर की गतिशीलता को ध्यान में रखते हुए, सोमनिया का यह संस्करण डेटा डिक्रिप्शन की संभावना प्रदान नहीं करता है।
आप यूक्रेन को रूसी आक्रमणकारियों से लड़ने में मदद कर सकते हैं। ऐसा करने का सबसे अच्छा तरीका यूक्रेन के सशस्त्र बलों को धन दान करना है जीवन बचाएं या आधिकारिक पेज के माध्यम से NBU.
यह भी दिलचस्प: