ادعای حمله هکرهای روسی به سازمان‌های دولتی و نظامی اوکراین

به گزارش کارگروه حملات سایبری سایبربان؛ محققان ادعا کردند که یک گروه هکری مرتبط با یک آژانس اطلاعاتی روسیه خدمات دولتی و نظامی اوکراین و همچنین شرکت‌های صنعتی را در یک کمپین جدید جاسوسی هدف قرار داده است.

براساس گزارش سرویس وب آمازون (AWS)، هدف از آخرین حملات، که به هکرهای «APT29» نسبت داده می‌شود، احتمالاً سرقت اعتبار از قربانیان بود.

APT29 که با نام‌های «Cozy Bear»، «BlueBravo» و «Midnight Blizzard» نیز شناخته می‌شود، ظاهراً در سرویس اطلاعات خارجی روسیه (SVR) قرار دارد. بنابر ادعای کارشناسان، این گروه در چندین مورد از مهم‌ترین حملات سایبری در دهه گذشته از جمله نقض سولارویندز (SolarWinds) در سال 2020 و حمله سال 2016 به کمیته ملی دموکرات دست داشته است.

در آخرین کمپین که برای اولین بار توسط تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) شناسایی شد، عامل تهدید از ایمیل‌های مخربی استفاده کرد که به نظر می‌رسید از آمازون یا مایکروسافت برای به خطر انداختن دستگاه‌های مورد نظر ارسال شده بودند.

محققان معتقدند که این حملات می‌تواند به هکرها امکان دسترسی به دیسک قربانیان، منابع شبکه، چاپگرها، دستگاه‌های صوتی، کلیپ‌بورد و سایر منابع محلی را بدهد. به گزارش تیم واکنش اضطراری رایانه‌ای اوکراین، گروه هکری همچنین می‌تواند از این دسترسی برای راه‌اندازی برنامه‌ها یا اسکریپت‌های شخص ثالث روی رایانه‌های قربانیان استفاده کند.

اوکراین رسماً این کمپین را به APT29 نسبت نداده، اما گفت که این حملات گستره جغرافیایی گسترده‌ای دارند. تیم واکنش اضطراری رایانه‌ای اوکراین خاطرنشان کرد که عامل تهدید احتمالاً حداقل از ماه اوت امسال زیرساخت‌ها را برای این کمپین آماده کرده است.

خدمات وب آمازون عنوان کرد که انتساب حملات خود به هکرهای روسی را بر اساس یافته‌های اخیر تیم واکنش اضطراری رایانه‌ای اوکراین استوار کرده است. به گفته این شرکت، برخی نام‌های دامنه مورد استفاده هکرها برای فریب دادن اهداف طراحی شده‌اند تا تصور کنند دامنه‌های خدمات وب آمازون قانونی هستند.

محققان توضیح دادند :

«آمازون و گروهی که پس از اعتبارنامه مشتری خدمات وب آمازون بودند، هدف نبودند و APT29 به دنبال دریافت اعتبار ویندوز از قربانیان از طریق «Microsoft Remote Desktop» بود. APT29 از تاکتیک‌های متفاوتی نسبت به معمول استفاده می‌کرد : هکرها ایمیل‌های فیشینگ را به اهدافی بسیار بیشتر از «رویکرد معمولی و با تمرکز محدود» ارسال کردند. پس از اطلاع از این فعالیت، ما بلافاصله روند توقیف دامنه‌هایی را که APT29 از آنها سوء استفاده می‌کرد، که جعل هویت خدمات وب آمازون بودند، برای مختل کردن عملیات آغاز کردیم.»

کارشناسان ادعا کردند که همانند بسیاری از کمپین‌های جاسوسی روسیه که اوکراین را هدف قرار می‌دهند، ارزیابی تأثیر کامل آن دشوار است. مشخص نیست که آیا هکرها داده‌های ارزشمندی به دست آورده‌اند یا در صورت دستیابی به آن چگونه ممکن است از آن استفاده کنند.

اوکراین درباره حمله سایبری دیگری که شرکت‌هایش را هدف قرار می‌دهد، با اطمینان تقریبی هشدار داد و حملات را به گروه هکری تحت حمایت دولت روسیه نسبت داد.

در این کمپین، هکرها با استفاده از سرویس «reCAPTCHA» گوگل که به وب‌سایت‌ها کمک می‌کند بین کاربران انسانی و ربات‌های خودکار تمایز قائل شوند، سعی کردند آژانس‌های دولتی محلی را به خطر بیاندازند.

به گفته تیم واکنش اضطراری رایانه‌ای اوکراین، هدف از این حملات سرقت اعتبار احراز هویت و سایر داده‌های حساس از مرورگرهای کروم، اِج و اپرا و نصب نرم‌افزار «Metasploit» روی دستگاه‌های قربانیان بود.

Metasploit یک چارچوب تست نفوذ منبع باز است که توسط متخصصان امنیتی و هکرهای اخلاقی برای شناسایی، آزمایش و اعتبارسنجی آسیب‌پذیری‌ها استفاده می‌شود. با این حال، هکرها می‌توانند از آن برای سوءاستفاده از نقص‌های شناخته شده در سیستم‌های قربانیان، جمع‌آوری اعتبار، افزایش امتیازات و حفظ دسترسی به شبکه سوءاستفاده کنند.