| 0 |
|
«Урядовою командою реагування на комп'ютерні надзвичайні події України» CERT-UA за фактом порушення цілісності та доступності вебресурсів ряду державних організацій 23.02.2023 вживаються заходи з дослідження обставин інциденту.
Станом на 11:00 23.02.2023 на одному з вебсайтів виявлено раніше відомий шифрований веб-шел, а також, підтверджено факт його використання у період з 22:00 22.02.2023 по 05:30 23.02.2023, в результаті чого, серед іншого, в кореневому веб-каталозі створено файл «index.php», який забезпечував модифікацію вмісту головної сторінки веб-ресурсу. Взаємодія з веб-шелом здійснювалася з IP-адрес, які, в т.ч., належать граничним пристроям інших постраждалих організацій. Зазначене стало можливим в результаті компрометації облікових записів та подальшого підключення до VPN-концентраторів відповідних організацій.
Крім того, ідентифіковано раніше відомий SSH-бекдор CredPump (PAM-модуль), який забезпечує прихований віддалений SSH-доступ (із статичним значенням паролю) та логування логінів та паролів під час підключення за допомогою SSH.
Також, виявлено бекдори HoaxPen та HoaxApe (у вигляді модулю для вебсерверу Apache), що забезпечують можливість виконання команд та були встановлені у лютому 2022 року.
Згідно часових атрибутів, вебшел створено не пізніше 23.12.2021; при цьому, для завантаження PHP-бекдору використано штатний функціонал вебсайту (перевірку типу завантажуваних файлів не імплементовано).
Слід додати, що на ранніх етапах кібератаки застосовано GOST (Go Simple Tunnel) та програму Ngrok (зокрема, для публікації в Інтернет сокету HoaxPen).
За сукупністю ознак фахівці роблять попередній висновок про те, що порушення штатного режиму функціонування досліджених вебресурсів здійснено групою UAC-0056 (DEV-0586, unc2589).
Очевидно, що передумови для несанкціонованого віддаленого доступу створено заздалегідь.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
