انتشار شده در تاریخ 1404/04/05 - 16:26

متهم شدن روسیه به حملات بدافزاری جدید علیه اوکراین

اوکراین اعلام کرد که مهندسی اجتماعی و چت‌های سیگنال منجر به حملات بدافزاری جدید روسیه شده است.

به گزارش کارگروه حملات سایبری سایبربان؛ مقامات امنیت سایبری اوکراین اعلام کردند که یک گروه هکری مرتبط با اطلاعات نظامی روسیه، با بدافزار تازه کشف‌شده‌ای که از طریق برنامه پیام‌رسان سیگنال ارائه می‌شود، سازمان‌های دولتی اوکراین را هدف قرار می‌دهد.

دو گونه بدافزار مورد استفاده در آخرین کمپین، با نام‌های «BeardShell» و «SlimAgent»، توسط تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) شناسایی شدند. BeardShell به عنوان یک در پشتی عمل می‌کند که قادر به اجرای اسکریپت‌های پاورشِل (PowerShell) است، درحالی‌که SlimAgent برای ضبط مخفیانه تصاویر رمزگذاری شده و ذخیره آنها به صورت محلی در دستگاه‌های آلوده طراحی شده است.

اوکراین این حملات را به «APT28»، که با نام‌های «Fancy Bear» و «Forest Blizzard» نیز شناخته می‌شود، نسبت داده است که دولت‌های غربی آن را به واحد ۲۶۱۶۵ آژانس اطلاعات نظامی روسیه (GRU) مرتبط می‌دانند. این گروه که حداقل از سال ۲۰۰۴ فعال بوده، از زمان آغاز جنگ روسیه و اوکراین، حملات خود را به کی‌یف و متحدانش افزایش داده است.

به گفته تیم واکنش اضطراری رایانه‌ای اوکراین، این بدافزار جدید در یک حمله فیشینگ اخیر که یک حساب ایمیل دولتی اوکراین را هدف قرار داده بود، مورد استفاده قرار گرفته است. مهاجم از سیگنال برای ارسال یک سند وُرد حاوی ماکروهای مخرب استفاده کرد. این آژانس اوکراینی خاطرنشان کرد که هکرها اطلاعات دقیقی از هدف داشتند و از این آشنایی برای فریب گیرنده جهت باز کردن فایل سوءاستفاده کردند.

طبق گزارش‌ها، مهاجمان از ترکیبی از در پشتی BeardShell و چارچوب امنیتی تهاجمی قانونی «Covenant» استفاده کردند. تیم واکنش اضطراری رایانه‌ای اوکراین گفت که عدم ادغام سیگنال با ابزارهای آنتی‌ویروس مرسوم، این بدافزار را قادر به فرار از شناسایی می‌کرد. هکرها همچنین از سرویس‌های ابری قانونی برای مدیریت سیستم‌های آلوده استفاده می‌کردند.

مقامات اوکراینی معتقدند که هکرهای دولتی روسیه به طور فزاینده‌ای از سیگنال برای ارائه بدافزارهایی استفاده می‌کنند که پرسنل دولتی و نظامی را هدف قرار می‌دهند. مهندسی اجتماعی همچنان یکی از اجزای کلیدی این عملیات است؛ در آخرین مورد، هکرها خود را به عنوان مقامات رسمی معرفی کردند که درخواست امضای دیجیتال برای ترغیب قربانیان به باز کردن پیوست‌های مخرب را داشتند.

کارشناسان امنیت سایبری غربی کمپین‌های مشابهی را گزارش کرده‌اند. گوگل اخیراً گروه «Sandworm» روسیه را به تلاش‌هایی در زمینه دستگاه‌های ضبط شده میدان جنگ اوکراین مرتبط دانسته است، جایی که حساب‌های ربوده شده سیگنال برای جمع‌آوری اطلاعات به سیستم‌های روسی متصل می‌شدند. طبق گزارش‌ها، گروه دیگری به نام «UNC4221»، یک کیت فیشینگ را که از برنامه توپخانه «Kropyva» اوکراین تقلید می‌کرد، برای سرقت موقعیت جغرافیایی و داده‌های دستگاه با استفاده از یک کد جاوا اسکریپت به نام «Pinpoint» مستقر کرده است.