مخفی شدن جاسوسان سایبری روسی پشت هویت هکرهای دیگر

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مایکروسافت و لومِن اخیراً فاش کرده‌اند که چگونه این عامل دولتی که به سرویس امنیت فدرال روسیه (FSB) متصل است، از بدافزارها و سرورهای عامل تهدید پاکستانی به نام طوفان-0156 (Storm-0156) برای سرقت داده و استفاده از آن‌ها بهره می‌برد.

مایکروسافت امروز گزارشی دیگر منتشر کرد که بر عملیات‌های جداگانه تورلا در ماه‌های مارس و آوریل 2024 متمرکز است که دستگاه‌های نظامی اوکراین را هدف قرار داده‌اند.

در جدیدترین کمپین، تورلا از زیرساخت بات نت آمادی (Amadey) و گروه هکری روسی دیگری به نام طوفان-1837 (Storm-1837) استفاده کرده است.

این زیرساخت برای استقرار خانواده‌های بدافزار سفارشی تورلا، از جمله تودیگ (Tavdig) و کازوار وی2 (KazuarV2)، بر روی سیستم‌های اوکراینی استفاده شده است.

مایکروسافت مطمئن نیست که آیا تورلا آمادی را ربوده یا دسترسی به بات نت را خریداری کرده است، اما این کمپین مثالی دیگر از تلاش این عامل تهدید برای پنهان شدن پشت گروه‌های هکری دیگر است.

مایکروسافت می‌گوید که بلازارد مخفی یا از بدافزار آمادی به عنوان یک سرویس (MaaS) استفاده کرده یا به صورت پنهانی به پانل‌های کنترل و فرمان آمادی دسترسی یافته و یک دراپر پاورشل (PowerShell) را بر روی دستگاه‌های هدف بارگذاری کرده است.

دراپر پاورشل حاوی یک بارگذاری آمادی به کد Base64-رمزگذاری شده بود که به کدی افزوده شده بود که درخواستی به زیرساخت کنترل و فرمان بلازارد مخفی ارسال می‌کرد.

حملات تورلا در اوکراین با ایمیل‌های فیشینگ همراه با پیوست‌های مخرب، درب‌های پشتی طوفان-1837 یا بات نت آمادی شروع می‌شود که برای استقرار بدافزار بر روی دستگاه‌های آلوده استفاده می‌شود.

آمادی یک بات نت بدافزار است که از سال 2018 برای دسترسی اولیه و ارسال بارهای عملیاتی استفاده شده است.

در گذشته، از آن توسط وابستگان به گروه هکری لاکبیت (LockBit) به عنوان پیش‌زمینه‌ای برای استقرار رمزگذارها بر روی شبکه‌ها استفاده می‌شد.

این بدافزار چندمنظوره عمدتاً برای انجام فعالیت‌های شناسایی و همچنین بارگذاری دراپرهای پاورشل برای بارگذاری بدافزارهای سفارشی گروه تهدید، از جمله تودیگ ("rastls.dll")، استفاده می‌شود.

مایکروسافت توضیح می‌دهد که هکرها از اطلاعات شناسایی شده توسط فایل‌های دسته‌ای که بارگذاری شده‌اند، برای شناسایی اهداف اولویت‌دار مانند دستگاه‌های نظامی متصل به سیستم‌های اینترنتی استارلینک استفاده می‌کنند.

مایکروسافت گزارش می‌دهد که این ابزار به طور انتخابی بر روی دستگاه‌های خاصی مستقر می‌شود که برای عامل تهدید جالب توجه بوده‌اند، مانند دستگاه‌هایی که از آدرس‌های آی پی استارلینک خروجی می‌دهند، که امضای رایج دستگاه‌های نظامی در خط مقدم اوکراین است.

ظاهراً دستگاه‌های استارلینک هدف قرار گرفته‌اند تا اطلاعاتی در مورد فعالیت‌های نظامی در خط مقدم جمع‌آوری کنند، که با نقش تورلا در سرویس امنیت فدرال روسیه هماهنگ است.

گزارش مایکروسافت همچنین تورلا را به یک عامل تهدید روسی دیگر به نام طوفان-1837 متصل می‌کند که به گفته ردموند، در گذشته بر روی دستگاه‌های استفاده شده توسط اپراتورهای پهپاد اوکراینی متمرکز بوده است.

تودیگ و کازوار وی2 اجزای اصلی زرادخانه بدافزاری تورلا هستند که نقش‌های مختلف اما مکملی در کمپین جاسوسی اخیر آن‌ها ایفا می‌کنند.

تودیگ یک درب پشتی سبک و مدولار است که برای برقرار کردن نفوذ اولیه، انجام نظارت و استقرار بارهای عملیاتی اضافی طراحی شده است.

این بدافزار می‌تواند اطلاعاتی مانند اعتبارنامه‌های کاربری، پیکربندی‌های شبکه و نرم‌افزارهای نصب شده را جمع‌آوری کند و همچنین می‌تواند تغییرات رجیستری ایجاد کرده و وظایف برنامه‌ریزی شده برای پایداری بسازد.

یکی از ابزارهایی که تودیگ بر روی دستگاه‌های آلوده بارگذاری می‌کند کازوار وی2 است، درب پشتی پیشرفته و پنهانی تورلا که برای جمع‌آوری اطلاعات در بلندمدت، اجرای فرمان‌ها و استخراج داده‌ها طراحی شده است.

کازوار وی2 معمولاً در فرآیندهای سیستم مشروعی مانند 'explorer.exe' یا 'opera.exe' تزریق می‌شود تا از شناسایی فرار کند و سپس داده‌ها و دستورات را از طریق کنترل و فرمان (C2) ارسال و دریافت می‌کند.

مایکروسافت اشاره می‌کند که کازوار وی2 یک بدافزار مدولار است، بنابراین می‌تواند با پلاگین‌های اضافی به‌طور خاص برای نیازهای جاسوسی گسترش یابد.

از مدافعان سایبری خواسته می‌شود تا با توجه به گزارش مایکروسافت، اقدامات پیشنهادی برای مقابله و جستجوهای موردی را بررسی کنند که شامل عملیات خاص تورلا و فعالیت‌های وسیع‌تر این گروه تهدید است.