ادعای هک دستگاه‌های ارتش اوکراین توسط هکرهای روسی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یک کمپین سایبری جدید مرتبط با روسیه، سربازان اوکراینی را با بدافزار سرقت اطلاعات به عنوان بخشی از تلاش گسترده‌تر برای تضعیف طرح‌های بسیج و استخدام نظامی کشور هدف قرار داد.

براساس گزارش گوگل، به عنوان بخشی از این کمپین که از سپتامبر تا اواسط اکتبر سال جاری ادامه داشت، هکرها تحت عنوان «UNC5812» برنامه‌های نرم‌افزار رایگان را تبلیغ کردند که ظاهراً برای کمک به سربازان اوکراینی طراحی شده‌اند تا مکان‌های جمع‌سپاری شده استخدام‌کنندگان نظامی را مشاهده کنند و به اشتراک بگذارند.

ظاهراً هکرها بدافزار را در کنار یک برنامه فریبنده موسوم به «Sunspinner» ارائه کردند و انواع بدافزارهای مختلفی را برای کاربران ویندوز و اندروید توسعه دادند.

بنابر ادعای محققان، این اولین بار نیست که عوامل تهدید مرتبط با روسیه سربازان بالقوه اوکراین را هدف قرار می‌دهند؛ اوایل ماه اکتبر امسال، تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA) کمپینی را کشف کرد که بدافزار «MeduzaStealer» را از طریق یک حساب تلگرامی که به عنوان یک ربات پشتیبانی فنی برای کاربران برنامه جدید دولت اوکراین «Reserve+» پنهان شده بود، توزیع می‌کرد.

UNC5812 برای عملکرد خود یک کانال تلگرام اختصاصی به نام دفاع شهری و همچنین وب‌سایتی ایجاد کرد که توسط گوگل به عنوان خطرناک برچسب‌گذاری شده است. به گفته محققان، برای جذب قربانیان احتمالی، هکرها احتمالاً تبلیغاتی را در کانال‌های تلگرامی قانونی اوکراینی زبان با هزاران مشترک خریداری کرده‌اند.

برای کاربران ویندوز، وب‌سایت هکرها دانلودر «Pronsis Loader» را ارائه می‌کند که قبلاً به عوامل تهدید با انگیزه مالی مرتبط بود. «PureStealer» و یک بدافزار سرقت اطلاعات که داده‌های مرورگر، کیف پول‌های ارزهای دیجیتال و اطلاعات سایر برنامه‌ها را جمع‌آوری می‌کند، نصب می‌نماید.

برای کاربران اندروید، فایل‌های مخرب سعی می‌کنند نوعی از درب پشتی اندروید «CraxsRAT» را نصب کنند که می‌تواند اعتبارنامه‌ها را بدزدد، مکان قربانی را نظارت و صدا و ضربه‌های کلید را ضبط کند.

در یک ویدیوی آموزشی، عامل تهدید به قربانیان نشان می‌دهد که چگونه Google Play Protect را غیرفعال کنند، سرویسی که برنامه‌ها را برای عملکرد مضر اسکن می‌کند و پس از نصب بدافزار، همه مجوزها را به صورت دستی فعال کنند.

عملیات‌های نفوذ

گوگل ادعا کرد که UNC5812 فراتر از ابزارهای سازش‌آور، در فعالیت‌های نفوذی با هدف تقویت روایت‌های ضد بسیج و بی‌اعتبار کردن ارتش اوکراین شرکت دارد؛ به عنوان مثال، کانال تلگرام هکرها، بازدیدکنندگان و مشترکین را تشویق می‌کند تا ویدیوهایی از اقدامات غیرمنصفانه را در مراکز استخدام بارگذاری کنند. در یک نمونه، ویدئویی که توسط UNC5812 به اشتراک گذاشته شده بود، روز بعد توسط سفارت روسیه در حساب X آفریقای جنوبی (توئیتر سابق) بازنشر شد.

وب‌سایت این عامل تهدید همچنین محتوای ضد بسیج به زبان اوکراینی منتشر می‌کند، از جمله یک بخش خبری که موارد ادعایی بسیج ناعادلانه را برجسته می‌کند.

گوگل خاطرنشان کرد که کمپین UNC5812 علیه نیروهای بالقوه اوکراینی بخشی از افزایش منافع عملیاتی عوامل تهدید روسیه پس از تغییرات در قوانین بسیج ملی اوکراین در سال 2024 است؛ این عملیات همچنین بر نقش حیاتی برنامه‌های پیام‌رسان در توزیع بدافزارها و سایر ابعاد سایبری جنگ روسیه در اوکراین تأکید می‌کند.

گوگل مدعی شد :

«ما ارزیابی می‌کنیم که تا زمانی که تلگرام به عنوان منبع اطلاعاتی حیاتی در طول جنگ باقی بماند، تقریباً به طور قطع به عنوان یک عامل اصلی برای فعالیت‌های سایبری توسط عوامل مختلف جاسوسی و نفوذ مرتبط با روسیه عمل خواهد کرد.»