شناسایی حملات گروه هکری Winnti

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیت سایبری پازتیو تکنالجیز به‌تازگی حملات جدیدی از گروه هکری وینتی (Winnti) شناسایی کردند.  

بر طبق گزارش این شرکت، گروه وینتی بیش از 50 رایانه شخصی را در روسیه، آمریکا، ژاپن، کره جنوبی، آلمان، مغولستان، بلاروس، هند و برزیل آلوده است. این گروه 5 توسعه‌دهنده نرم‌افزار برای سازمان‌های مالی را در آلمان و روسیه هدف قرار داده است.

به گفته نیکالای موراشوف، معاون مرکز هماهنگی‌های ملی در حوزه رخدادهای رایانه‌ای روسیه اخیراً در میان گروه‌های АРТ حمله به سازمان‌ها از طریق شرکا، پیمانکاران و مشتریان آن‌ها که ازلحاظ امنیت سایبری در سطح پایینی قرار دارند، رایج شده و هکرها برای حمله به این سازمان‌ها در اکثر مواقع از حملات فیشینگ استفاده می‌کنند.

یک‌سوم از حملات گروه‌های АРТ در روسیه طی سال‌های اخیر به سازمان‌هایی معطوف بوده که اقدام به توسعه نرم‌افزار و یکپارچه‌سازی سیستم‌های کاربردی می‌کنند. برخی از این حملات، حملات پیچیده Supplychain و Trusted relationship به سازمان‌های صنعتی و دولتی و بانک‌ها بوده است. 

به اعتقاد کارشناسان پازتیو تکنالجیز، اشتراکاتی میان زیرساخت جدید مهاجمان وینتی با زیرساخت‌های دیگر گروه‌های هکری وجود دارد که نشان می‌دهد گروه وینتی در سایر حملات سایبری دست داشته است. 

محققان با بررسی در پشتی «ShadowPad» که توسط وینتی مورداستفاده قرار می‌گیرد به دامنه‌هایی رسیده‌اند که پیشتر در حملاتی علیه روسیه، بلاروس، کره جنوبی و ژاپن مورداستفاده قرارگرفته‌اند. 

پیشتر تصور می‌شد که این حملات را گروه‌های ТА459 ،Tontoteam و Nettraveller انجام داده‌اند؛ اما تحقیقات جدید خلاف آن را ثابت کرد.