Kariuomenės įstaigose kompiuterinės sistemos infekuotos naudojantis kenkėjiškais „Windows“ įrašymo failais
Į Ukrainos vyriausybines įstaigas buvo įsilaužta per naują kampaniją, kurios metu buvo naudojamos „Windows“ programų diegimo failų trojanizuotos versijos, kad būtų galima atlikti veiksmus po įsilaužimo. Ekspertai praneša, kad rado informacijos apie socialiai sukurtos tiekimo grandinės ataką[1], kuri taikosi į slaptą informaciją ir prisijungimus.
Viskas prasidėjo maždaug 2022 metų liepos viduryje, kai kenkėjiški ISO failai buvo platinami per piratavimo svetaines ukrainiečių ir rusų kalbomis. Saugumo agentūros stebi grėsmes platinančią grupę kaip UNC4166.
Įdiegus užkrėstą programinę įrangą, kenkėjiška programa renka informaciją apie kompiuterių sistemą ir ją perduoda į serverius, kur nusikaltėliai gali pasiekti patalpintus duomenis.
Nors nusikaltėlių grupės kilmė nežinoma, teigiama, kad įsilaužimai buvo nukreipti į organizacijas, kurios anksčiau buvo nukentėjusios nuo trikdančių „Wiper“ viruso atakų, priskiriamų Rusijos valstybės remiamai nusikaltėlių grupuotei žinomai kaip APT28[2].
Kibernetinių kenkėjų žvalgybos įmonės duomenimis, pagrindinis ISO failas buvo sukurtas taip, kad išjungtų telemetrijos duomenų perdavimą iš užkrėsto kompiuterio į užkardas, taip pat blokuotų automatinius atnaujinimus ir licencijos patikrinimą. Tai buvo naudojama norint išvengti ankstaus viruso aptikimo sistemoje.
Analizės metu buvo rasta konkreti kenkėjiška programa. „StealDeal“ yra informacijos vagystės virusas, kuris, be kita ko, gali pavogti interneto naršymo duomenis ir interneto naršyklėje saugomus slaptažodžius. Tokia informacija naudojama jungiantis prie įvaiių jautrių sistemų ir paskyrų.
Hakerių taikinys – Ukrainos vyriausybės organizacijos
Ekspertai nustatė, kad iš pažeistos Ukrainos gynybos ministerijos elektroninio pašto paskyros buvo siunčiami apgaulingi laiškai ir trumposios žinutės situacijos suvokimo programos „DELTA“ naudotojams, siekiant užkrėsti kitas sistemas informaciją vagiančiomis kenkėjiškomis programomis, kurios galėtų surinkti naudingą informaciją[3].
Apie šią kampaniją savo ataskaitoje pranešė „CERT-UA“ – Ukrainos reagavimo į kompiuterinius pavojus grupė, kuri įspėjo Ukrainos kariškius apie kenkėjiškos programinės įrangos ataką.
„DELTA“ – tai žvalgybos duomenų rinkimo ir valdymo sistema, kurią Ukraina sukūrė padedama sąjungininkų, kad padėtų kariuomenei sekti priešo pajėgų judėjimą.
Sistema teikia išsamią realaus laiko informaciją su aukšto lygio integracija iš daugelio šaltinių skaitmeniniame žemėlapyje, kuris gali veikti bet kuriame elektroniniame įrenginyje – nuo nešiojamojo kompiuterio iki išmaniojo telefono.
Skaitmeniniai sertifikatai naudojami programinės įrangos kodui pasirašyti ir serverių autentiškumui patvirtinti, kuriais operacinėje sistemoje veikiantiems saugumo produktams pranešama, kad programa nebuvo suklastota ir kad serverio operatorius yra tas, kuo jis prisistato. Tokie atnaujinimai pasitaiko ir yra reikalingi, tad kenkėjų kūrėjai pasirinko specifinę ir sėkmingą taktiką.
Užkrėtimo procesas įvykdytas naudojant įdiegimo instrukcijas
Vykdydami šią tolimesnę virusų platinimo kampaniją, grėsmių sukėlėjai naudojo elektroninio pašto arba trumpąsias žinutes su netikrais įspėjimais, kad naudotojai turi atnaujinti svarbius sertifikatus, norėdami toliau saugiai naudotis sistema. Tokia praktika nesukėlė daug abejonių asmenims, todėl kenkėjai sėkmingai plito[4].
Kenkėjiškame el. laiške pateikiamas PDF dokumentas, kuriame neva yra sertifikatų diegimo instrukcijos, o jame – nuorodos atsisiųsti ZIP archyvą. Jame yra skaitmeniniu parašu pasirašyta vykdomoji programa, kurią paleidus aukos sistemoje sukuriami keli DLL failai ir paleidžiamas procesas, imituojantis sertifikato diegimo procesą. Šis žingsnis įtikina auką, kad procesas buvo teisėtas, ir sumažina tikimybę, kad ji supras, jog į komiuterį buvo įsilaužta.
Ir EXE failai, ir DLL yra apsaugoti teisėta programine įranga, kuri naudojama failams atskirose mašinose pakuoti ir šifruoti. Taip kenkėjiškas turinys paslėptas ir negali būti aptiktas naudojantis antivirusines programas.
Tokie dalykai kaip prisijungimai ar privati informacija yra labai naudingi kitų šalių šnipams ir žvalgybos grupėms, todėl spėliojama, kad tai gali būti Rusų darbas, kitų šalių hakerių grupių įdirbis. Tačiau „CERT-UA“ nepavyko susieti minėtos operacijos su jokiais žinomais grėsmių sukėlėjais, kurie jau būtų stebimi. Tai gali būti nauja grupuotė, neturinti jokių žinomų pėdsakų.
