حمله هکرهای کرم شنی به سربازان اوکراینی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که سربازان اوکراینی هدف یک کمپین جاسوسی جدید در ارتباط با عامل تهدید روسی موسوم به کرم شنی (Sandworm) قرار گرفته‌اند.

به عنوان بخشی از این عملیات، هکرها وب‌سایت‌های کلاهبرداری ایجاد و از صفحه رسمی یک برنامه نظامی اوکراینی به نام «Army+» تقلید کردند؛ سپس کاربران را فریب دادند تا فایل اجرایی پنهان شده به‌عنوان بسته نصب برنامه را دانلود کنند.

Army+ اخیراً مورد توجه جدی دولت اوکراین قرار گرفته است. این اپلیکیشن که اوایل سال جاری معرفی شد، با هدف دیجیتالی کردن وظایف بوروکراتیک سربازان، مانند ارسال گزارش به فرماندهان، طراحی شده است.

براساس گزارش تیم واکنش اضطراری رایانه‌ای نظامی اوکراین (MIL.CERT-UA)، وب‌سایت‌های جعلی Army+ روی یک پلتفرم بدون سرور به نام «Cloudflare Workers» میزبانی می‌شوند که برنامه‌ها را مستقر می‌کند. هکرها اغلب از خدمات قانونی برای مخفی کردن عملیات‌های خود سوءاستفاده می‌کنند و وب‌سایت‌های جعلی را برای قربانیان احتمالی قانع کننده‌تر جلوه می‌دهند.

فایل اجرایی ارائه شده از طریق برنامه مخرب Army+ یک نصب کننده است که با «NSIS»، سیستم نصب اسکریپت‌پذیر «Nullsoft»، ابزار مورد استفاده توسعه دهندگان برای ایجاد بسته‌های نصب نرم‌افزار، ساخته شده است.

هنگامی که فایل اجرا می‌شود، یک برنامه مخرب را فعال می‌کند که به هکرها دسترسی مخفی به رایانه می‌دهد، داده‌های محرمانه را از طریق شبکه تور (Tor) ناشناس ارسال می‌کند و درنتیجه هکرها می‌توانند سیستم‌های هدف را بیشتر به خطر بیاندازند.

تیم واکنش اضطراری رایانه‌ای نظامی اوکراین گفت که گروه هکری پشت کمپین اخیر توسط تیم واکنش اضطراری رایانه‌ای اوکراین با نام «UAC-0125» ردیابی شده و به احتمال زیاد با عامل تهدید روسی «APT44» موسوم به کرم شنی نیز مرتبط است.

بنابر ادعای محققان، کرم شنی مسئول حملات سایبری بزرگی در اوکراین از جمله اختلال در شبکه برق این کشور در سال 2015 با استفاده از بدافزار «BlackEnergy»، حمله مخرب سال 2017 علیه سازمان‌های دولتی اوکراین، شرکت‌های انرژی و زیرساخت‌های حیاتی با بدافزار «NotPetya» و هک بزرگ‌ترین اپراتور مخابراتی اوکراین به نام کی‌یف‌استار (Kyivstar) در سال 2023  است. کارشناسان معتقدند که هکرهای کرم شنی با سرویس اطلاعات نظامی روسیه (GRU) مرتبط هستند.

محققان اوکراینی جزئیات زیادی در مورد هک Army+ ارائه نکرده‌اند و این احتمالاً به دلیل حساسیت موضوع است. هنوز مشخص نیست که وب‌سایت‌های مخرب چگونه توزیع شده‌اند، حمله چقدر موفقیت‌آمیز بوده، چند کاربر تحت تأثیر قرار گرفته‌اند و هدف نهایی این عملیات چیست.

سربازان اوکراینی و خدماتی به یک هدف محبوب برای هکرهای مرتبط با روسیه از جمله کرم شنی تبدیل شده‌اند.

شرکت امنیت سایبری ماندیانت (Mandiant) متعلق به گوگل اوایل سال جاری ادعا کرد که هکرهای کرم شنی زیرساختی را ایجاد کردند که به نیروهای ارتش روسیه اجازه می‌دهد تا به ارتباطات رمزگذاری شده سیگنال و تلگرام در دستگاه‌های تلفن همراه ضبط شده در میدان نبرد دسترسی داشته باشند.

در ماه اکتبر سال جاری، محققان اوکراینی یک کمپین سایبری جدید مرتبط با روسیه را کشف کردند که اوکراینی‌ها را با بدافزار سرقت اطلاعات هدف قرار می‌دهد. به عنوان بخشی از این کمپین، هکرها برنامه‌های نرم‌افزار رایگان را تبلیغ کردند که ظاهراً برای کمک به سربازان اوکراینی طراحی شده‌اند تا مکان‌های جمع‌سپاری شده استخدام‌کنندگان نظامی را مشاهده کنند و به اشتراک بگذارند. پس از نصب، این برنامه‌ها بدافزار را در کنار یک برنامه فریبنده ارائه کردند که تحت عنوان «Sunspinner» ردیابی می‌شد.

اوایل ماه آوریل امسال، تیم واکنش اضطراری رایانه‌ای اوکراین گزارش داد که هکرها به طور فزاینده‌ای تلاش کرده‌اند تا بدافزارهای سرقت اطلاعات را در برنامه‌های پیام‌رسان مورد استفاده نیروهای مسلح اوکراین نصب کنند. هکرها برای فریب قربانیان در باز کردن فایل‌های مخرب، آن‌ها را به عنوان اسناد جعلی دادگاه، ویدیوهای خط مقدم یا آرشیو پنهان می‌کردند.