Kopš Krievijas pilnapjoma iebrukuma Ukrainā februārī, abas valstis nepārtraukti veic kiberuzbrukumus viena pret otru. Nesen CERT-UA publicēja brīdinājumu par jaunu izspiedējvīrusa paveidu ar nosaukumu Somnia, kas ir saistīts ar Krievijas kiberuzbrucējiem “From Russia with Love” (FRwL), kas pazīstams arī kā Z-Team vai UAC-0118.
Mērķis
CERT-UA ir apstiprinājusi, ka uzbrukumi ir no Krievijas hakeru grupas FRwL, kas iepriekš Telegram bija atklājis, ka ir radījuši Somnia.
- FRwL veic uzbrukumus Ukrainas organizācijām piederošām automatizētām sistēmām un elektroniskajām skaitļošanas iekārtām.
- Grupa pat publicēja pierādījumus par uzbrukumiem tanku ražotājiem Ukrainā.
- Tomēr Ukraina nav apstiprinājusi veiksmīgu šifrēšanu.
Inficēšanās ķēde
FRwL saviem uzbrukumiem saņem palīdzību no sākotnējās piekļuves brokeriem un citām iesaistītajām grupām.
- Sākotnējā kompromitēšanā tiek izmantotas viltotas vietnes, kas imitē Advanced IP Scanner programmatūru, lai maldinātu mērķa darbiniekus lejupielādēt instalatoru priekš Vidar stealer.
- Vidar nozog upura Telegram sesiju un ļaunprātīgi izmanto to, lai pārsūtītu VPN savienojuma informāciju (tostarp konfigurācijas failus, sertifikātus un autentifikācijas datus) lietotājiem. Ja VPN nav aizsargāts ar 2FA vai piekļuves kodu, hakeri to izmanto, lai iegūtu neatļautu piekļuvi uzņēmuma tīklam.
- Kad iebrucēji iegūst attālinātu piekļuvi uzņēmuma tīklam, viņi veic izlūkošanu, palaiž Cobalt Strike Beacon un izfiltrē datus.
Papildus viņi izmanto tādus rīkus kā Netscan, Rсlone, Anydesk un Ngrok, lai veiktu dažādas uzraudzības un attālās piekļuves darbības.
Vairāk par Somnia
- Somnia ir notikušas vairākas izmaiņas, un tā ir kļuvusi par datu tīrītāju. Jaunākajos uzbrukumos tā nesniedz nekādu datu atšifrēšanas iespēju, kas liecina, ka tās operatorus vairāk interesē mērķa darbības traucēšana, nevis ienākumu gūšana.
- Jaunākajā Somnia variantā tiek izmantots AES algoritms, savukārt pirmajā versijā tika izmantots simetriskais 3DES algoritms.
- Tas ir paredzēts vairākiem failu tipiem, tostarp dokumentiem, attēliem, datubāzēm, arhīviem, video failiem u.c. Šifrējot failus, šifrēto failu nosaukumiem pievieno paplašinājumu .somnia.
Secinājums
Krievijas un Ukrainas kara laikā ir notikuši vairāki uzbrukumi, un visvairāk ir cietušas daudzas būtiskas, kā arī kritiski svarīgas infrastruktūras. Visām organizācijām neatkarīgi no to lieluma un reģiona tiek ieteikts būt gatavām reaģēt uz graujošiem kiberuzbrukumiem un ieņemt stingru nostāju attiecībā uz kiberdrošību un kritiskāko aktīvu aizsardzību.
