به گزارش کارگروه حملات سایبری سایبربان؛ محققان معتقدند که یک گروه هکری تحت حمایت دولت روسیه، معروف به گاماردون (Gamaredon)، قربانیان اوکراینی زبان را با یک کمپین جاسوسی سایبری هدف قرار داده است.
گاماردون که با نام «BlueAlpha» نیز ردیابی میشود، قبلاً یکی از فعالترین گروههای هکری روسی در اوکراین بود. این گروه حداقل از سال 2013 فعال بوده و احتمالاً از شبه جزیره کریمه ضمیمه روسیه فعالیت میکند. کارشناسان ادعا کردند که هکرها به دستور سرویس امنیت فدرال روسیه (FSB) عمل میکنند.
بنا بر ادعای محققان غربی، هکرها در جدیدترین کمپین خود با استفاده از تونلهای «Cloudflare»، ابزاری که به پنهان کردن مکان واقعی سرورها یا زیرساختها کمک میکند، برای آلوده کردن اهداف خود با بدافزار «GammaDrop» سفارشی مشاهده شدهاند.
محققان مدعی شدند:
«تونلهای Cloudflare به دلیل سهولت در راهاندازی و این واقعیت که در بیشتر موارد هیچ هزینهای برای کاربر ندارند، به عنوان یک تکنیک فرار دفاعی شتاب بیشتری به دست آوردهاند.»
اوایل ماه اوت سال جاری، شرکت امنیت سایبری پروفپوینت (Proofpoint) گزارش داد که شاهد افزایش ارسال بدافزار از طریق سوءاستفاده از تونل Cloudflare است. شرکت عنوان کرد که هکرها در این حملات انگیزه مالی داشتهاند.
Cloudflare اعلام کرد که تونلهای مخرب را به محض کشف غیرفعال و از بین میبرد.
یکی از سخنگویان شرکت گفت:
«ما به طور مداوم در کنار شرکای مختلف صنعتی کار میکنیم تا از سوءاستفاده در پلتفرم خود جلوگیری کنیم.»
در سالهای اخیر، Cloudflare ادعا کرده که تشخیصهای مبتنی بر یادگیری ماشینی را در محصول تونل خود برای مقابله بهتر با فعالیتهای مخرب معرفی کرده است.
این شرکت ادعا کرد:
«ما فروشندگان امنیتی را تشویق میکنیم تا URLهای مشکوک را ارسال کنند و علیه مشتریانی اقدام خواهیم کرد که از خدمات ما برای بدافزار استفاده میکنند.»
برای تزریق GammaDrop به سیستمهای هدف، هکرها از پیوستهای ایمیل مخرب استفاده کردند. GammaDrop یک محموله است که برای ایجاد جای پایی روی دستگاه قربانی و ارائه «GammaLoad»، درب پشتی سفارشی گروه استفاده میشود.
محققان اظهار داشتند که آخرین نمونه GammaDrop که آنها به دست آوردهاند با مقدار زیادی کد ناخواسته و نام متغیرهای تصادفی مبهم شده است که تشخیص و تجزیه و تحلیل آن را دشوارتر میکند.
به گفته محققان، این گروه احتمالاً به بهبود تکنیکهای فرار خود از جمله با استفاده از سرویسهای قانونی محبوب مانند Cloudflare ادامه خواهد داد.
محققان اعلام نکردهاند که هکرها کدام سازمانهای اوکراینی را هدف قرار دادهاند و نتایج این کمپین را مشخص نکردهاند، اما Gamaredon به دلیل استفاده از بدافزارهایی شناخته شده است که به هکرها اجازه میدهد به دادهها نفوذ، اعتبارنامهها را سرقت، بارهای اضافی را اجرا و دسترسی دائمی به شبکههای در معرض خطر را حفظ کنند.
در ماه اوت امسال، تقریباً در همان زمانی که گروه «Insikt» اعلام کرد نمونه GammaDrop را به دست آورده، این گروه ارتش و سازمانهای دولتی اوکراین را در طول حمله متقابل مورد انتظار این کشور هدف قرار دادند. در گزارشی که در آن زمان توسط مرکز ملی هماهنگی امنیت سایبری اوکراین (NCCC) منتشر شد، این آژانس اعلام کرد که بدافزار گروه برای پنهان کردن فعالیت خود، به جای استفاده از آدرسهای آیپی واقعی، نام دامنهها را از سرویسهای قانونی مانند Cloudflare، تلگرام و تلگراف بازیابی میکند.
