ادعای استفاده از ابزارهای تیم قرمز توسط هکرهای روسی

به گزارش کارگروه بین‌الملل سایبربان؛ محققان ادعا کردند که هکرهای تحت کنترل دولت روسیه از ابزارهای مورد استفاده توسط تیم‌های قرمز برای سرقت داده‌های قربانیان خود استفاده می‌کنند.

بنابر ادعای کارشناسان غربی، در یک عملیات جاسوسی در مقیاس بزرگ که در ماه اکتبر امسال آغاز شد، گروه موسوم به «APT29» از یک پروتکل دسکتاپ از راه دور (RDP) استفاده کرد، ابزار مشروع مورد استفاده متخصصان امنیت سایبری که حملات دنیای واقعی را برای آزمایش دفاع یک سازمان شبیه‌سازی می‌کنند، تا کنترل سیستم قربانیان را به دست آورد.

طبق گزارشی از شرکت امنیت سایبری ترند میکرو (Trend Micro) که این کمپین را تجزیه و تحلیل کرد، هکرها از ایمیل‌های فیشینگ به منظور فریب قربانیان برای باز کردن فایل‌های مخرب استفاده کردند که رایانه‌های آنها را برای اتصال به یکی از سرورهای راه دور گروه از طریق پروتکل دسکتاپ از راه دور پیکربندی مجدد کردند.

به گفته کارشناسان، در میان قربانیان این کمپین دولت‌ها، نیروهای مسلح، اتاق‌های فکر و محققان دانشگاهی در اوکراین و اروپا هستند.

APT29 که با نام‌های «Cozy Bear»، «Nobelium»، «BlueBravo» و «Midnight Blizzard» نیز شناخته می‌شود، ظاهراً توسط سرویس اطلاعات خارجی روسیه (SVR) حمایت می‌شود. این گروه قبلاً شرکت‌های دیپلماتیک، نظامی، انرژی، مخابرات و فناوری را در کشورهای غربی هدف قرار داده بود. در چندین مورد از مهم‌ترین هک‌های دهه گذشته، از جمله هک سولارویندز (SolarWinds) در سال 2020 و حمله سال 2016 به کمیته ملی دموکرات آمریکا، نقش داشته است.

ترند میکرو اعلام کرد که هکرها تلاش زیادی برای آماده شدن کمپین اخیر انجام داده‌اند. بین ماه‌های اوت و اکتبر 2024، آنها بیش از 200 نام دامنه مرتبط با اهداف پرمخاطب را ثبت کردند، از جمله آنهایی که احتمالاً به دولت‌های استرالیا و اوکراین مرتبط هستند.

بنابر ادعای کارشناسان، این اولین بار نیست که APT29 یک کمپین فیشینگ در مقیاس بزرگ انجام می‌دهد؛ در ماه می 2021، آنها همچنین ایمیل‌های مخربی را با استفاده از یک سرویس ارسال انبوه به هزاران حساب شخصی ارسال کردند.

محققان گفتند که هکرها ممکن است ایده سوءاستفاده از پروتکل دسکتاپ از راه دور برای دسترسی غیرمجاز را از یک پست وبلاگی در سال 2022 توسط شرکت امنیت اطلاعات بلک هیلز (Black Hills) دریافت کرده باشند که توضیح مفصلی در مورد این رویکرد ارائه کرده است.

روش حمله توصیف شده توسط بلک هیلز شامل استفاده از یک ابزار منبع‌باز به نام «PyRDP» است که به هکرها کمک می‌کند تا قربانیان را به یک سرور مخرب متصل کنند و به سیستم فایل آنها دسترسی داشته باشند. پس از اتصال، مهاجمان می‌توانند دایرکتوری‌ها را مرور کنند، فایل‌ها را بخوانند یا تغییر دهند و بارهای مخرب را تزریق کنند.

محققان ترند میکرو عنوان کردند:

«هیچ بدافزاری فی‌نفسه روی دستگاه‌های قربانی نصب نمی‌شود. در عوض، یک فایل پیکربندی مخرب با تنظیمات خطرناک، این حمله را تسهیل و آن را مخفی‌تر می‌کند زیرا از ابزارها و فرآیندهای موجود در سیستم استفاده می‌کند.»

مرحله آخر حمله اغلب شامل استخراج داده‌ها می‌شود، جایی که مهاجمان اطلاعات حساس مانند رمزهای عبور، فایل‌های پیکربندی، داده‌های اختصاصی یا سایر مواد محرمانه را استخراج می‌کنند.

یک کمپین مشابه منتسب به APT29 نیز قبلاً توسط مایکروسافت و تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA) مشاهده شده بود. محققان ایمیل‌های مخرب ارسال شده به هزاران هدف در بیش از 100 سازمان را کشف کردند که حاوی فایل‌های پیکربندی پروتکل دسکتاپ از راه دور متصل به سرورهای کنترل شده توسط هکرها بود.

در برخی ایمیل‌ها، هکرها هویت کارکنان مایکروسافت را جعل کرده بودند، درحالی‌که برخی دیگر از فریب‌های مهندسی اجتماعی مرتبط با مایکروسافت و خدمات وب آمازون (AWS) استفاده کردند.

طبق گفته ترند میکرو، سوءاستفاده از سرورهای پروتکل دسکتاپ از راه دور نمونه کاملی از یک گروه تهدید پایدار پیشرفته است که از ابزارهای تیم قرمز استفاده می‌کند تا کار خود را روی حمله کاهش دهد و به آنها اجازه می‌دهد بیشتر روی هدف قرار دادن سازمان‌هایی با مهندسی اجتماعی پیشرفته تمرکز کنند.

محققان شرکت خاطرنشان کردند:

«این به آنها کمک می‌کند تا مطمئن شوند که می‌توانند حداکثر داده‌ها و اطلاعات را از اهداف خود در کوتاه‌ترین زمان استخراج کنند.»