هشدار تیم واکنش اضطراری رایانه‌ای اوکراین درمورد نحوه سرقت هکرهای روسی

به گزارش کارگروه بین‌الملل سایبربان؛ تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) هشدار داد که «Gamaredon»، گروه تهدید مداوم پیشرفته (APT) مرتبط با روسیه، معروف به «Shackworm»، «Actinium»، آرماگدون (Armageddon)، «Primitive Bear»، «UAC-0010» و «Trident Ursa»، داده‌های شبکه‌های قربانیان را کمتر از یک ساعت پس از سازش اولیه سرقت می‌کنند.

Gamaredon از سال 2014 فعال بوده و فعالیت آن بر اوکراین متمرکز است؛ این گروه با استفاده از درب پشتی چند مرحله‌ای «Pteranodon/Pterodo» مشاهده شد.

به گفته کارشناسان، گروه Gamaredon APT به انجام حملات علیه نهادها در اوکراین از جمله سرویس‌های امنیتی، ارتش و سازمان‌های دولتی ادامه می‌دهد.

از زمان آغاز جنگ روسیه و اوکراین، گروه جاسوسی سایبری کمپین‌های متعددی را علیه اهداف اوکراینی انجام داده است. تیم واکنش اضطراری رایانه‌ای اوکراین ادعا کرد که عملیات‌های گامارِدون را رصد کرده و توانسته اطلاعاتی در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) این گروه هکری جمع‌آوری کند؛ این گروه اغلب از ایمیل‌ها و پیام‌های اسپیر فیشینگ (تلگرام، واتس‌اپ، سیگنال) به عنوان بردار حمله اولیه استفاده می‌کند. جاسوسان سایبری اغلب از حساب‌هایی استفاده می‌کنند که قبلاً در معرض خطر قرار گرفته‌اند.

توزیع فایل‌های مخرب با استفاده از پیام‌رسان سیگنال

این پیام‌ها از مهندسی اجتماعی به منظور فریب قربانیان برای باز کردن پیوست‌های مخرب (مانند فایل‌های HTM، HTA و LNK) که به عنوان اسناد آفیس پنهان شده‌اند، استفاده می‌کنند؛ هنگامی که سند از سوی هدف باز می‌شود، بین 30 تا 50 دقیقه طول می‌کشد تا داده‌ها از سیستم آلوده سرقت شوند.

در بیانیه تیم واکنش اضطراری رایانه‌ای اوکراین آمده است :

«با توجه به مطالعات انجام شده کامپیوتری و فنی، می‌توان گفت که پس از آسیب اولیه، مشروط بر اینکه مهاجمان به رایانه علاقه‌مند باشند، سرقت فایل‌هایی با لیست مشخصی از پسوندها (.doc, .docx, .xls, xlsx، .rtf، .odt، .txt، .jpg، .jpeg، .pdf، .ps1، .rar، .zip، .7z، .mdb) معمولاً 30 تا 50 دقیقه، معمولاً با بدافزار «GAMMASTEEL»، طول می‌کشد. یک ویژگی مشخصه ذکر شده که روی رایانه کار می‌کند، ایجاد یک فایل گزارش است (به عنوان مثال، %LOCALAPPDATA%\_profiles_1_new_.ini) که حاوی مجموع هش فایل‌های سرقت شده (با در نظر گرفتن برخی متا داده‌ها) است.) تعداد ورودی‌های این گزارش باید با تعداد فایل‌های دزدیده شده برابر باشد.»

بنابر ادعای محققان اوکراینی، عوامل تهدید روسی با استفاده از بدافزارهایی مانند اسکریپت‌های GammaSteel و پاورشل (PowerShell) برای انجام شناسایی و اجرای دستورات اضافی روی دستگاه در معرض خطر مشاهده شدند.

تیم واکنش اضطراری رایانه‌ای اوکراین همچنین گزارش داد که عاملان تهدید مشاهده شده‌اند که هر هفته 120 فایل آلوده مخرب را روی سیستم در معرض خطر قرار می‌دهند تا در برخی موارد ماندگاری خود را حفظ و در صورت فرآیند گندزدایی امکان آلودگی مجدد را فراهم کنند.

در حال حاضر جاسوسان سایبری در حال سرقت اسناد و اجرای دستورات از راه دور با استفاده از PowerShell مشاهده شدند. در برخی موارد، عوامل تهدید، «Anydesk» را روی رایانه در معرض خطر نصب می‌کردند تا دسترسی از راه دور تعاملی را با استفاده از PowerShell انجام دهند.

کارشناسان ادعا کردند که طبق این مشاوره، گاماردون اقدامات خاصی را انجام می‎دهد تا زیرساخت شبکه خود را در برابر خطا مقاوم و از شناسایی جلوگیری کند؛ این گروه از خدمات شخص ثالث و/یا منابع تلگرام (تلگراف) برای تعیین آدرس‌های IP C2 و اجتناب از استفاده از زیرسیستم «DNS» استفاده می‌کند. تیم واکنش اضطراری رایانه‌ای اوکراین مدعی شد که در طول روز، آدرس‌های IP گره‌های کنترل میانی می‌تواند از 3 تا 6 بار یا بیشتر تغییر کند، شرایطی که نشان‌دهنده خودکارسازی فرآیند توسط مهاجمان است.

این هشدار همچنین شامل شاخص‌های سازش (IoC) برای حملات اخیر است.