جاسوسی هکرهای سفایر وروولف از صنایع آموزشی، دفاعی و هوافضا روسیه

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، اهداف این گروه شامل صنایع آموزشی روسیه، تولیدی، فناوری، دفاعی و مهندسی هوافضا بوده است.

مشخص نیست چه کسی مسئول این گروه است و آیا این گروه حمایت دولتی دارد یا انگیزه آنها صرفا مالی است.

شرکت سایبری روسی بی.زون (BI.ZONE) از ماه مارس فعالیت‌های سفایر وروولف (Sapphire Werewolf) را دنبال کرده است.

به گفته محققان، ابزار آمتیست (Amethyst) این گروه، شاخه ای از ابزار منبع باز سفایر استیلر (SapphireStealer) است.

پس از ورود به سیستم، آمتیست می‌تواند فایل‌های پیکربندی تلگرام، پایگاه‌های داده رمز عبور و کوکی‌ها، تاریخچه‌های مرورگر و وب‌سایت‌های محبوب، صفحات ذخیره‌شده و تنظیمات مرورگرها و همچنین گزارش‌های پاورشل (PowerShell) را جمع‌آوری کند.

هکرها بدافزار را از طریق ایمیل‌های فیشینگ که به عنوان فرمان‌های رسمی، از جمله فرمان‌های کمیته مرکزی انتخابات یا حتی ولادیمیر پوتین، رئیس‌جمهور روسیه، پنهان شده‌اند، به دستگاه‌های قربانیان ارسال می‌کنند.

مشخص نیست که کمپین های سفایر وروولف چقدر موثر هستند یا چگونه از داده های به دست آمده استفاده می کنند.

محققان متوجه شده اند که بدافزار این گروه تکامل یافته است.

فقط در طول سه ماه پیش، این گروه هکری هیچ مکانیزمی برای دستیابی به پایداری در سیستم در معرض خطر نداشت و فقط مجموعه محدودی از داده ها را جمع آوری می کرد.

گزارش‌های مربوط به حملات سایبری در داخل روسیه نادر است و اغلب منحصراً توسط شرکت‌های سایبری محلی منتشر می‌شود زیرا شرکت‌های غربی دید محدودی در منطقه دارند.

در اوایل این هفته، یک شرکت روسی دیگر به نام پازتیو تکنولوژی (Positive Technologies) که توسط ایالات متحده به دلیل ارائه فناوری به سرویس‌های اطلاعاتی روسیه تحریم شده بود، گزارشی درباره یک گروه تحت حمایت دولتی به نام هلهاوندز (HellHounds) منتشر کرد که شرکت‌های برق روسیه، کسب‌وکارهای فناوری، سازمان‌های دولتی و صنعت فضایی و ارائه دهندگان مخابراتی را با بدافزار دیکوی داگ (Decoy Dog) هدف قرار می‌داد.