FRwL (alias Z-Team), la cui attività è monitorata dal CERT-UA con l’identificativo UAC-0118, si è assunto la responsabilità dell’intervento non autorizzato nel funzionamento dei sistemi automatizzati e delle macchine informatiche elettroniche dell’obiettivo dell’attacco.
L’indagine ha rilevato che la compromissione iniziale si è verificata a seguito del download e dell’esecuzione di un file che imitava il software “Advanced IP Scanner”, ma in realtà conteneva il malware Vidar.
Partiamo dal presupposto che la tattica di creare copie di risorse Web ufficiali e distribuire programmi dannosi con il pretesto di prodotti software popolari sia prerogativa dei cosiddetti broker di accesso iniziale. Nel caso dell’incidente specificamente considerato, in considerazione dell’evidente appartenenza dei dati rubati a un’organizzazione ucraina, il relativo broker ha trasferito i dati compromessi al gruppo criminale FRwL allo scopo di utilizzarli ulteriormente per eseguire un attacco informatico.
Va notato che il ladro Vidar, tra le altre cose, ruba i dati della sessione di Telegram che, in assenza di un’autenticazione a due fattori configurata e di un passcode, consente l’accesso non autorizzato all’account della vittima.
Come si è scoperto, il Telegram della vittima è stato utilizzato per trasferire agli utenti i file di configurazione della connessione VPN (inclusi certificati e dati di autenticazione). Data la mancanza di autenticazione a due fattori durante la creazione di una connessione VPN, gli aggressori sono stati in grado di ottenere una connessione non autorizzata alla rete aziendale.
Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione utilizzando una VPN, gli aggressori hanno condotto ricognizioni (in particolare, hanno utilizzato Netscan), hanno lanciato il programma Cobalt Strike Beacon e hanno anche esfiltrato dati, come evidenziato dall’uso del programma Rсlone. Inoltre, ci sono segni del lancio di Anydesk e Ngrok.
Tenendo conto delle caratteristiche tattiche, tecniche e qualifiche, a partire dalla primavera del 2022, il gruppo UAC-0118, con l’assistenza di altri gruppi criminali coinvolti, in particolare, nella fornitura di accesso iniziale e trasmissione di immagini crittografate del Cobalt Programma Strike Beacon, ha effettuato diversi interventi nel lavoro delle reti informatiche delle organizzazioni ucraine.
Si noti che anche il malware Somnia ha subito delle modifiche. La prima versione del programma utilizzava l’algoritmo 3DES simmetrico. Nella seconda versione viene implementato l’algoritmo AES; allo stesso tempo, tenendo conto della dinamica della chiave e del vettore di inizializzazione, questa versione di Somnia, secondo il piano teorico degli aggressori, non prevede la possibilità di decrittazione dei dati.
