ادعای سرقت وجوه شرکت‌های اوکراینی توسط هکرهای روس

به گزارش کارگروه حملات سایبری سایبربان؛ محققان ادعا کردند که بدافزار «Smokeloader» مورد استفاده هکرهای مرتبط با روسیه، یکی از ابزارهای اصلی برای هک مالی در اوکراین است.

بین ماه می و نوامبر 2023، محققان 23 کمپین Smokeloader را علیه اهداف مختلف در اوکراین، از جمله مؤسسات مالی و سازمان‌های دولتی، شناسایی کردند. براساس گزارش آژانس سایبری دولتی بزرگ اوکراین (SSSCIP) با همکاری شرکت امنیت سایبری شبکه‌های پالو آلتو (Palo Alto Networks)، هکرها در ماه‌های اوت و اکتبر بیشترین فعالیت را داشتند و به ترتیب 198 و 174 مورد فیشینگ را انجام دادند.

تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA)، گروه هکری پشت Smokeloader را با نام «UAC-0006» ردیابی کرد. کارشناسان معتقدند که این گروه از ابزار مخرب برای دانلود بدافزارهای دیگر در تلاش برای سرقت وجوه از شرکت‌های اوکراینی استفاده می‌کند.

براساس گزارش تیم واکنش اضطراری کامپیوتری اوکراین، گروه هکری روی از اوت تا سپتامبر 2023 تلاش کرده تا ده‌ها میلیون هریونیا (یک دلار معادل حدود 40 هریونیای اوکراینی) را سرقت کند.

بنابر ادعای کارشناسان، هکرها عمدتاً بدافزار را از طریق کمپین‌های فیشینگ توزیع و اغلب از آدرس‌های ایمیلی که قبلاً به خطر افتاده بودند، استفاده می‌کردند؛ این تاکتیک به آن‌ها اجازه می‌دهد تا از حساب‌های ایمیل شرکتی قابل اعتماد برای افزایش شانس فریب دادن هدف برای سقوط در تلاش‌های فیشینگ استفاده کنند. برخی موضوعات ایمیل و نام فایل‌ها حاوی اشتباهات املایی بودند یا از ترکیبی از کلمات اوکراینی و روسی تشکیل شده بودند.

محققان مدعی شدند که هکرها در کمپین اخیر خود در ماه اکتبر گذشته، از Smokeloader برای حمله به مؤسسات دولتی، شرکت‌های خصوصی و مالی با تمرکز ویژه بر بخش حسابداری استفاده کردند.

ظاهراً هکرها Smokeloader را زیر لایه‌هایی از اسناد مالی به ظاهر بی‌ضرر پنهان کردند. بیشتر این فایل‌ها مشروع و از سازمان‌هایی که قبلاً در معرض خطر قرار گرفته بودند به سرقت رفته بودند.

Smokeloader از استراتژی‌های مختلف فرار استفاده می‌کند تا از اقدامات امنیتی بدون شناسایی عبور کند و درنهایت پس از دسترسی به سیستم، می‌تواند اطلاعات مهم دستگاه، از جمله جزئیات سیستم عامل و داده‌های مکان را استخراج کند.

محققان گفتند که اگرچه اوکراین شاهد افزایش حملات Smokeloader بوده است، اما این بدافزار یک تهدید جهانی باقی مانده است و همچنان در کمپین‌های متعددی دیده می‌شود.

عوامل تهدید از سال 2011 در انجمن‌های زیرزمینی Smokeloader را تبلیغ می‌کنند. محققان این بدافزار را به یک گروه هکری خاصی نسبت نمی‌دهند، اما آنها ارتباط احتمالی با عملیات‌های مجرمانه سایبری روسیه را پیشنهاد می‌کنند.

در طول سال‌ها، Smokeloader به‌روزرسانی و تکامل یافته تا با تکنیک‌هایی برای جلوگیری از شناسایی توسط فروشندگان امنیتی همگام شود.

به گفته محققان، از زمانی که بدافزار برای اولین بار ظاهر شد، گروه‌های مختلفی از آن علیه صنایع و سازمان‌های مختلف در سراسر جهان استفاده کرده‌اند. این فعالیت‌ها از حملات سایبری هدفمند اخیر در اوکراین تا فعالیت‌های مجرمانه که منجر به حملات باج‌افزاری فوبوس می‌شود، متغیر است.

فوبوس نوعی باج‌افزار به‌عنوان سرویس است که به مجرمان سایبری اجازه می‌دهد تا از طریق کمپین‌های فیشینگ یا حملات «brute force» به اعتبار ورود به سیستم دسترسی پیدا کنند، که در آن مهاجمان سعی می‌کنند با استفاده از ترکیب‌های مختلفی از نام‌های کاربری و رمزهای عبور به یک حساب هدف دسترسی پیدا کنند.

در ماه فوریه سال جاری، هکرها از یک نوع فوبوس برای هدف قرار دادن یک پلتفرم فناوری اطلاعات که به بیمارستان‌های رومانی خدمات می‌دهد، استفاده کردند. در نتیجه این حمله، داده‌های نزدیک به 25 بیمارستان رمزگذاری شد و تقریباً 75 بیمارستان از اینترنت قطع شدند.