انگشت اتهام تحلیلگران روسی به سوی چین و کره شمالی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، یافته‌های شرکت امنیت سایبری سولار (Solar) که متعلق به بزرگترین ارائه‌دهنده مخابراتی روسیه، یعنی روستلکام (Rostelecom) است، با توجه به مشارکت سیاسی طولانی مدت بین روسیه، چین و کره شمالی، شگفت‌انگیز است.

ماه گذشته ولادیمیر پوتین، رئیس جمهور روسیه برای دیدار با همتای چینی خود، شی جین پینگ، به پکن سفر کرد و روز پنجشنبه روسیه با کره شمالی برای گسترش همکاری در تجارت، علم و فناوری به توافق رسید.

به گفته محققان، هکرهای مورد حمایت دولت از این کشورها در درجه اول بر جاسوسی و سرقت اطلاعات از مخابرات و خدمات دولتی روسیه تمرکز می کنند.

پاسکال گیننز، مدیر شرکت امنیت سایبری رادور (Radware) گفت:

یافته‌های این گزارش آن چیزی نیست که من انتظار دارم. با این حال، عوامل تهدید دولتی، انگیزه ای برای شکار در شبکه های متحد دارند. زمانی که متحدی در شرف سرکشی یا حفظ روابط با کشوری باشد که دشمن تلقی می‌شود، آن‌ها می‌خواهند یک قدم جلوتر باشند.

دید محدود
گزارش‌های مربوط به حملات سایبری علیه روسیه نادر است، با توجه به اینکه بسیاری از شرکت‌های غربی دید محدودی به سیستم‌های رایانه‌ای در منطقه دارند.

این هفته، مقامات دولتی روسیه و شرکت‌های امنیت سایبری، از جمله سولار، در جریان یک رویداد بزرگ امنیت اطلاعات به نام اس او سی فروم (SOC Forum)، اطلاعاتی در مورد آنچه در فضای سایبری این کشور اتفاق می‌افتد، ارائه کردند.

با توجه به سطح بالای تبلیغات در روسیه، گزارش های روسی را باید با احتیاط بررسی کرد.

برخی از ادعاهای ارائه شده در طول این رویداد، متناقض به نظر می رسد.

در حالی که سولار ادعا می کند که اکثر حملات سایبری دولتی علیه روسیه از آسیا سرچشمه می گیرد، مقامات امنیت سایبری این کشور، دشمنان غربی را مسئول هماهنگی حملات سایبری علیه مسکو می دانند.

محققان سولار به ویژه گروه های تهدید پایدار پیشرفته دولت چین را به عنوان تهدید اصلی برای سیستم های روسی مشخص کرده اند.

به گفته این محققان، در سپتامبر سال جاری، هکرهای مرتبط با چین یک کمپین جاسوسی سایبری گسترده علیه روسیه راه‌اندازی کردند و روزانه سیستم‌های 20 تا 40 سازمان روسی را آلوده کردند و فعالیت آنها تنها یک ماه پس از اینکه فروشندگان امنیتی متوجه حملات شدند، کاهش یافت.

سال گذشته، محققان شرکت امنیت سایبری چک پوینت (Check Point) حمله ای توسط عامل تهدیدکننده مرتبط با چین، توییستد پاندا (Twisted Panda) را به موسسات دفاعی دولتی روسیه، شناسایی کردند.

سرگئی شیکویچ، محقق چک پوینت، گفت:

فرض ما این است که هدف اصلی در این مورد و در بسیاری موارد دیگر، از گروه های تهدیدکننده وابسته به چین که علیه روسیه فعالیت می‌کنند، جاسوسی تجاری با تمرکز بر صنایع دفاعی حساس است. این تمایل از زمان آغاز جنگ روسیه و اوکراین افزایش داشته است.

یکی دیگر از گروه های هکری که به گفته سولار به طور فعال به روسیه حمله می کند، لازاروس تحت حمایت کره شمالی است.

در دو سال گذشته، سولار گفت که چندین رویداد مرتبط با این گروه، از جمله مواردی که سازمان‌های دولتی را هدف قرار می‌دهند، بررسی کرده است.

به گفته محققان، از ابتدای نوامبر، هکرهای لازاروس هنوز به تعدادی از سیستم های روسی دسترسی دارند.

برخی از موارد نفوذ پیونگ یانگ به روسیه به طور علنی گزارش شده است.

در ماه اوت، شرکت امنیت سایبری سنتینل لبز (SentinelLabs)، نفوذ هکرهای کره شمالی به یک سازمان مهندسی موشکی روسیه را شناسایی کرد.

محققان این هک را به گروه جاسوسی سایبری کره شمالی اسکارکرافت (ScarCruft) نسبت دادند که سرور ایمیل این شرکت را مورد حمله قرار داده و همچنین لازاروس (Lazarus) که درهای پشتی دیجیتال را در سیستم های آن نصب کرده است.

به گفته تام هگل، محقق تهدید این شرکت، این حمله به جای یک حادثه مجزا، بر یک الگو تاکید می کند.

هگل گفت که افزایش فعالیت گروه های تهدید چین و کره شمالی را می توان به کارزارهای جهانی گسترده و سریع آنها نسبت داد، نه اینکه روسیه را منحصرا هدف قرار دهد.

وی افزود:

علاوه بر این، مهم است که بدانیم که عوامل تهدید چین و کره شمالی از اهداف مالی و جاسوسی فراتر می روند و اغلب این دو را در هم می آمیزند.

حملات سایبری از سوی کشورهای «دشمن»
در بحبوحه جنگ جاری با اوکراین، روسیه با حملات سایبری مکرر از سوی هکرهای اوکراینی با انگیزه سیاسی، مانند ارتش فناوری اطلاعات، که حملات منع سرویس توزیع شده (DDoS) را بر روی وب‌سایت‌های روسی یا افشای اطلاعات شرکت‌های دولتی و خصوصی انجام می‌دهند، مواجه می‌شود.

به ندرت گزارشی در مورد فعالیت گروه های هک دولت ملی اوکراین در شبکه های روسیه وجود دارد.

محققان سولار گفتند که شناسایی هکرهای مورد حمایت دولت اوکراین در فضای سایبری روسیه دشوار است؛ زیرا بسیاری از مجرمان سایبری با انگیزه سیاسی از مناطق مختلف در جهت منافع آنها عمل می کنند.

از میان کمپین هایی که محققان با عوامل تهدید اوکراینی در ارتباط بودند، می توان به حمله سایبری به یکی از ارائه دهندگان اینترنت روسیه که منجر به تخریب برخی از زیرساخت های آن شد، اشاره کرد.

این گزارش ارائه‌دهنده را مشخص نکرده است، اما احتمالاً به حمله سایبری به ارائه‌دهنده ارتباطات ماهواره‌ای روسی به نام دوزور تلپورت (Dozor-Teleport) اشاره دارد.

هکرهای عامل این حادثه ادعا می کنند که به برخی از پایانه های ماهواره ای آسیب رسانده و اطلاعات محرمانه ذخیره شده در سرورهای شرکت را افشا کرده و از بین برده اند.

اوکراین رسما مسئولیت این حمله را بر عهده نگرفته است.

هگل از شرکت امنیت سایبری سنتینل لبز گفت که عوامل تهدید مورد حمایت اوکراین، ساده تر، نادر تر، استراتژیک تر و منزوی تر از اهداف با ارزش هستند و اصلا از طریق اطلاعات تهدید عمومی ردیابی نمی شوند.

در رویداد اس او سی، مرکز ملی هماهنگی حوادث رایانه‌ای روسیه تکرار کرد که کشورهای غربی را «دشمن» اصلی روسیه در فضای سایبری می‌داند.

معاون مدیر آژانس، پیتر بلوف، گفت که کشورهایی که در تامین تسلیحات به اوکراین نقش دارند، همچنین به صورت فعالانه، فعالیت های هکرها را هماهنگ می کنند.

به گفته بلوف، برخی از گروه‌های هکری دشمن، به دنبال آسیب‌پذیری‌ها در سیستم‌های روسی هستند، در حالی که برخی دیگر به آنها دسترسی اولیه پیدا کرده‌اند و برخی داده‌های حساس را از شبکه‌های در معرض خطر سرقت می‌کنند.

او همچنین گفت که مهاجمان اکنون کمتر بر توجه رسانه‌ها و بیشتر روی سرقت داده‌ها و ایجاد حداکثر آسیب به سیستم‌های دیجیتال روسیه تمرکز می‌کنند.

در حالی که تعیین اینکه چه کسی عامل تهدید اصلی علیه سیستم های روسیه است دشوار است، اما هگل گفت که روسیه با چشم انداز تهدید قابل مقایسه با سایر نقاط جهان روبرو می شود.

این موضوع شامل یک هجوم قابل توجه و مداوم از عوامل جنایتکار با انگیزه مالی، در کنار حضور پویای گروه های عامل تهدید (APTها) در منطقه است.