Ukrainos kibernetinio aljanso kovotojai teigia, kad iš grėsmių sukėlėjo sistemų išgavo visus duomenis, įskaitant išeities kodą ir duomenų bazių įrašus, tarp kurių gali būti dešifravimo raktų.
Ukrainos kibernetinio aljanso įsilaužėliai gavo prieigą prie „Trigona“ išpirkos reikalaujančios programinės įrangos infrastruktūros pasinaudoję viešai paskelbtu kritiniu „Confluence“ duomenų centro ir serverio pažeidžiamumu CVE-2023–22515, kuriuo galima pasinaudoti nuotoliniu būdu ir padidinti vartotojų įgaliojimus.
Šį pažeidžiamumą kaip vadinamąjį nulinės dienos pažeidžiamumą nuo rugsėjo 14 d. atakose naudojo bent viena grupuotė, kurią „Microsoft“ stebi kaip „Storm-0062“ (taip pat žinoma kaip „DarkShadow“ ir „Oro0lxy“).
UCA maždaug prieš šešias dienas pirmą kartą įsilaužė į išpirkos reikalaujančios programos „Trigona“ serverį ir visiškai nepastebėtas sužymėjo kibernetinių nusikaltėlių infrastruktūrą.
Kaip rašo „BleepingComputer“, po to, kai UCA aktyvistas, besinaudojantis slapyvardžiu herm1t, paskelbė išpirkos reikalaujančios programišių grupuotės vidaus dokumentų ekrano nuotraukas, „Trigona ransomware“ iš pradžių supanikavo – ir sureagavo pakeisdama slaptažodį bei išjungdama viešai prieinamą infrastruktūrą.
Tačiau per kitą savaitę aktyvistams pavyko išgauti visą informaciją iš grėsmės sukėlėjo administravimo įrankių, jų tinklaraščio ir duomenų nutekinimo svetainės bei vidinių įrankių („Rocket.Chat“, „Jira“ ir „Confluence“ serverių).
Herm1t teigimu, ukrainiečiai taip pat išgavo išpirkos reikalaujančios programinės įrangos kūrimo aplinką, „karštąsias“ kriptovaliutų pinigines, taip pat išeities kodą ir duomenų bazių įrašus.
Aktyvistai nežino, ar jų išgautoje informacijoje yra dešifravimo raktų – tačiau teigia, kad juos paviešins, jei tokie bus rasti.
Surinkę visus turimus išpirkos reikalaujančios gaujos duomenis, UCA aktyvistai ištrynė ir sugadino programišių svetaines, taip pat pasidalijo administravimo svetainės raktu.
Ukrainos kibernetinis aljansas
Nuo 2014 m. Ukrainoje ir visame pasaulyje daugybė haktyvistų pradėjo bendradarbiauti, kad apgintų šalies kibernetinę erdvę nuo Rusijos agresijos.
Maždaug po dvejų metų pavieniai įsilaužėliai ir kelios įsilaužėlių grupės susivienijo į Ukrainos kibernetinį aljansą, dabar įregistruotą kaip nevyriausybinę organizaciją, ir pradėjo atakuoti įvairias organizacijas ir asmenis, remiančius Rusijos veiklą prieš Ukrainą.
Grupės narių tapatybės yra įslaptintos – išskyrus tuos, kurie ją įsteigė kaip oficialų subjektą, kurio veikla grindžiama pilietine pareiga šaliai.
Remiantis organizacijos „Vikipedijos“ puslapiu, jos nariai atliko daug sėkmingų įsilaužimo operacijų, per kurias pavyko atskleisti informaciją apie Rusijos veiklą ir propagandos bandymus Ukrainoje ir kitose šalyse, taip pat apie jos vykdomą įvairių fizinių ir juridinių asmenų kontrolę.
Tarp skelbiamų UCA nuopelnų – 2016 m. du kartus įsilaužta į Rusijos gynybos ministeriją ir nutekintos viešosios gynybos sutartys bei konfidencialūs duomenys apie 2015–2016 m. valstybės gynybos užsakymo teikimą.
Kita sėkmė – įsilaužimas į Vladislavo Surkovo (asmens, kuris, kaip manoma, kūrė pastarųjų metų Rusijos propagandos mašiną), elektroninį paštą, kuriame jis aptarinėjo Krymo aneksiją ir tai, kaip finansuoti Luhansko ir Donecko teritorijas, kai jos taps Rusijos respublikomis.
„Trigona“
Šiuo pavadinimu išpirkos reikalaujančios programinės įrangos operacija pirmąkart buvo pastebėta praėjusių metų spalio pabaigoje, kai grupuotė „Tor“ tinkle įkūrė svetainę, kurioje su atakų aukomis derėdavosi dėl išpirkos mokėjimo „Monero“ kriptovaliuta.
Anksčiau kenkėjiškos programos pavyzdžiai neturėjo konkretaus pavadinimo, bet buvo pastebimi nuo 2022 m. pradžios. Prieš atsirandant „Trigona“ pavadinimui, programišiai deryboms dėl išpirkos mokėjimų naudodavo el. paštą.
Kurį laiką kibernetiniai nusikaltėliai buvo pakankamai aktyvūs: per vieną mėnesį efektyviai užpuldavo mažiausiai 15 gamybos, finansų, statybos, žemės ūkio, žemės ūkio, rinkodaros ir aukštųjų technologijų sektorių įmonių.
Šių metų pradžioje „Trigona“ įsilaužėliai taikėsi į viešajame internete esančius „Microsoft SQL“ serverius, naudodami perrinkimo (angl. bruteforce) arba žodyno parinkimo atakas, kad gautų prieigos duomenis.
Šiuo metu dėl naujausių Ukrainos kibernetinio aljanso veiksmų nė viena iš „Trigona“ išpirkos reikalaujančios programinės įrangos viešų svetainių ir paslaugų internete nebeveikia.
Parengta pagal „BleepingComputer“.
