ادعای حمله سایبری گروه هکری روس به دولت اوکراین با به‌روزرسانی‌های جعلی ویندوز

به گزارش کارگروه حملات سایبری سایبربان؛ گروه تهدید «APT28»، که به‌وسیله کرملین حمایت می‌شود، سازمان‌های دولتی اوکراین را با پیام‌های ایمیلی درباره به‌روزرسانی‌های جعلی ویندوز به امید حذف بدافزارهایی که داده‌های سیستم را استخراج می‌کنند، پر کرده است.

بنابر ادعای تیم واکنش اضطراری کامپیوتری اوکراین (CERT-UA)، گروه تهدید مداوم پیشرفته (APT)، که در میان نام‌های دیگر با نام‌های «Fancy Bear»، «Strontium» و «Sofacy» نیز شناخته می‌شود، در طول ماه آوریل امسال ایمیل‌هایی با به‌روزرسانی‌های ویندوز (Windows Update) ارسال کردند. به نظر می‌رسد که این پیام‌ها از سوی مدیران سیستم سازمان‌های دولتی ارسال شده است.

تیم واکنش اضطراری کامپیوتری اوکراین در یادداشت آنلاین کوتاهی نوشت : «آدرس های ایمیل فرستندگان ایجاد شده در سرویس عمومی «@outlook.com» را می‌توان با استفاده از نام خانوادگی و حروف اول واقعی کارمند تشکیل داد.

در پیام‌ها دستورالعمل‌هایی به زبان اوکراینی برای به‌روزرسانی سیستم‌عامل مایکروسافت «در برابر حملات هکرها» نوشته شده و تصاویری نشان می‌دهد که چگونه یک خط فرمان را راه‌اندازی و یک فرمان «PowerShell» را اجرا کنید.

اجرای دستور یک به‌روزرسانی ویندوز را شبیه‌سازی، اما در واقع یک اسکریپت PowerShell را دانلود و اجرا می‌کند که اطلاعات اولیه سیستم را در مورد استفاده از دستوراتی مانند «فهرست وظایف» و «systeminfo» جمع‌آوری می‌کند. سپس اطلاعات از طریق یک درخواست «HTTP» به «Mocky» ارسال می‌شود؛ سرویسی که APIها را به سخره می‌گیرد تا به توسعه‌دهندگان کمک کند تا برنامه‌ها را آزمایش کنند.

تیم واکنش اضطراری کامپیوتری اوکراین به سازمان‌های دولتی توصیه کرده که کاربران را از اجرای PowerShell محدود و اتصالات شبکه به Mocky را نظارت کنند.

گروه هکری APT28 از سال 2008 وجود داشته است. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و فروشندگان امنیتی مانند «Secureworks» و ماندیانت (Mandiant)، متعلق به گوگل، آن را به آژانس اطلاعاتی روسیه (GRU) مرتبط می‌کنند.

بنابر ادعای کارشناسان غربی، Fancy Bear در گذشته سازمان‌های دولتی و نظامی و نهادهای خصوصی در ایالات متحده، اروپای غربی و آمریکای جنوبی را با استفاده از فیشینگ و کلاهبرداری‌های مشابه هدف قرار داده است. در سال 2018، وزارت دادگستری ایالات متحده 7 عامل آژانس اطلاعاتی روسیه را به اتهام نقش آنها در حملات APT28 متهم کرد.

2 سال بعد، ایالات متحده و بریتانیا APT28 و یک گروه دیگر مرتبط با روسیه، APT29 یا «Cozy Bear» را به تلاش برای سرقت اطلاعات درباره واکسن‌های بیماری کووید-19 متهم کردند.

اخیراً، APT28 در اوکراین در جبهه سایبری تهاجم غیرقانونی روسیه به همسایه خود فعال بوده است. «Malwarebytes»، گوگل و تیم واکنش اضطراری کامپیوتری اوکراین ادعا کردند که این گروه پشت طرحی برای حذف بدافزار سرقت اطلاعات با استفاده از سوء استفاده از «Follina» است.

آژانس‌های ایالات متحده و بریتانیا در بیانیه‌ای مشترک در آوریل 2023 مدعی شدند که APT28 از یک نقص قدیمی‌تر در روترهای پچ‌نشده سیسکو برای سرقت داده‌های شبکه از دولت‌های ایالات متحده و اروپا و همچنین حدود 250 دستگاه شبکه اوکراینی سوءاستفاده کرد.

یک گروه هکریست اوکراینی به نام مقاومت سایبری (Kiber Sprotyv) ماه گذشته با دسترسی به حساب‌های شخصی سرگئی الکساندرویچ مورگاچف (Sergey Alexandrovich Morgachev)، یکی از اعضای آژانس اطلاعاتی روسیه و رئیس احتمالی گروه هکری، با APT 28 مقابله کرد.