شناسایی سازنده اوکراینی ابزار مخرب دسترسی از راه دور

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، توسعه‌دهنده این بدافزار که با نام مستعار آقای برنز (Mr. Burns) شناخته می‌شود، از سال 2010 در انجمن‌های دارک نت فعال بوده و به خاطر ایجاد نسخه‌های مخرب ابزارهای مدیریت از راه دور، مانند تیم ویوئر (TeamViewer) و آر ام اس (RMS) یا ریموت یوتیلیتیز (Remote Utilities) مشهور است.

شرکت امنیت سایبری روسی F.A.C.C.T که مدعی شناسایی این هکر شده است، این ابزار را با نام برنز رت (BurnsRAT) ردیابی می کند.

به گفته این شرکت، توسعه دهنده یک شهروند اوکراینی 38 ساله به نام اندری آر از شهر ترنوپیل است.

انتساب برنز رت به یک برنامه‌نویس اوکراینی تأیید نشده است.

با توجه به اینکه اکثر شرکت های سایبری غربی هنگام حمله به اوکراین، روسیه را ترک کردند، دید محدودی در داخل شبکه های روسیه وجود دارد.

به گفته محققان، آقای برنز مشتری و یا شریک یک مجرم سایبری دیگر به نام واسی گرک (VasyGrek) است که حداقل از سال 2016 به شرکت های روسی حمله کرده است.

آنها اظهار کردند که واسی گرک حداقل پنج سال است که از تروجان دسترسی از راه دور آقای برنز استفاده می کند.

شرکت F.A.C.C.T.، که یکی از شاخه های شرکت امنیت سایبری گروه آی بی (Group-IB) در سنگاپور است، ادعا می کند که حساب های تلگرام و سایر صفحات رسانه های اجتماعی و همچنین پروفایل های انجمن دارک نت مرتبط با این دو مجرم سایبری را شناسایی کرده است.

علاوه بر برنز رت، واسی گرک ابزارهایی مانند متا استیلر (MetaStealer)، وارزون رت (WarzoneRAT) و بدافزار سارق اطلاعات ردلاین (RedLine) را علیه شرکت‌های روسی به کار گرفته است و از ایمیل‌های با مضمون مالی مانند دستورهای پرداخت به عنوان فریب استفاده کرده است.

آخرین حمله واسی گرک به یک قربانی ناشناس در روسیه در ماه می 2024 شناسایی شد.

به گفته محققان، اجاره برنز رت ماهانه 1200 دلار هزینه دارد و به اپراتورهای آن اجازه می دهد فایل ها را مدیریت، آپلود و حذف کنند، صفحه کلید و صفحه قربانی را قفل کنند و کامپیوتر را خاموش یا راه اندازی مجدد کنند.

محققان تصریح کردند که به دلایل اخلاقی، اطلاعات شخصی آقای برنز را فاش نمی‌کنند، اما تمام اطلاعات جمع‌آوری‌شده در طول مطالعه در اختیار پلیس قرار داده می‌شود.

پلیس سایبری اوکراین به یافته های شرکت F.A.C.C.T واکنشی نشان نداده است.