کشف گروه هکری جدید ToddyCat با هدف قرار دادن هند

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان اعلام کردند در حالیکه گروه هکری «DragonForce Malaysia» به حملات سایبری خود علیه هند ادامه می‌دهد، آخرین تحقیقات یک گروه هکر جدیدی را نشان می‌دهد که تا به امروز حداقل 2 بار هند را هدف قرار داده است.

برخلاف هدف قرار گرفتن وب‌سایت‌ها و سرورهای هندی از سوی DragonForce، گروه هکری جدید خود را منحصراً به اهداف با ارزش در بخش دولتی و دفاعی محدود می‌کند.

این گروه، که «ToddyCat» نام دارد، اوایل سال جاری به‌وسیله محققان کسپرسکی (Kaspersky)، یک تأمین کننده امنیت سایبری و ضد ویروس، کشف شد. به دلیل فعالیت‌های مخرب سازمان‌یافته و بی‌وقفه‌اش، به عنوان یک تهدید دائمی پیشرفته (APT) طبقه‌بندی شد و کسپرسکی گزارش مفصلی از یافته‌های خود را هفته گذشته در وبلاگ «SecureList» منتشر کرد.

وبلاگ SecureList  اخیراً منتشر کرد :

«ToddyCat یک بازیگر نسبتاً جدید APT است که ما نتوانسته‌ایم آن را به دیگر بازیگران شناخته‌شده ارتباط دهیم و مسئول مجموعه‌های متعدد حملاتی است که از ماه دسامبر 2020 علیه نهادهای برجسته در اروپا و آسیا شناسایی شده‌اند. ما هنوز اطلاعات کمی در مورد این گروه هکری داریم، اما می‌دانیم که نشانه‌های متمایز اصلی آن 2 ابزار ناشناخته قبلی هستند که آنها را «Samurai Backdoor» و «Ninja Trojan» می‌نامیم.»

به گفته کارشناسان، درپشتی روشی غیرمجاز برای ورود به یک سیستم است که از رویه‌های امنیتی و احراز هویت عادی عبور می‌کند. تروجان‌ها فایل‌هایی هستند که ظاهراً بی‌ضرر، اما مملو از بدافزار هستند و نام آنها از اسب تروجان اساطیر یونان گرفته شده است.

تحقیقات فعلی نشان می‌دهد که ToddyCat برای اولین بار در دسامبر 2020 فعال شد، زمانی که سرورهای تایوان و ویتنام را هدف قرار داد. با توجه به شدت کم حملات در این 2 کشور، گمان می‌رود که ToddyCat در این زمان فقط در حال آزمایش زرادخانه خود بوده است.

با این حال، از فوریه تا مارس 2021، کسپرسکی تشدید سریعی را مشاهده کرد، به طوری که ToddyCat از یک آسیب‌پذیری شناخته شده در سرورهای یک ارائه‌دهنده خدمات ایمیل بزرگ سوء استفاده کرد. حملات ToddyCat در سراسر آسیا و اروپا، از جمله در هند نیز مشاهده شد.

سپس، در ماه می سال گذشته، محققان بار دیگر ادعا کردند که ToddyCat هند و چندین کشور دیگر در آسیا را هدف قرار داده است. این بار تهدید دائمی پیشرفته نیز 3 کشور جدید را به فهرست اهداف خود اضافه کرده بود. به گفته کسپرکی، جدا از بهره‌برداری از آسیب‌پذیری‌ها در سرورها، ToddyCat فایل های بارگذاری شده با بدافزار را از طریق اینستاگرام به اهداف خود ارسال می‌کند.

سازمان‌های آسیب‌دیده، اعم از دولتی و نظامی، نشان می‌دهند که این گروه بر اهداف بسیار مهمی متمرکز شده‌اند و احتمالاً برای دستیابی به اهداف حیاتی، احتمالاً مرتبط با منافع ژئوپلیتیکی، استفاده می‌شوند. طبق تحقیقات کسپرسکی، این گروه علاقه شدیدی به اهداف در جنوب شرقی آسیا نشان می‌دهد، اما فعالیت‌های آنها بر اهداف در بقیه آسیا و اروپا نیز تأثیر می‌گذارد.

در بیانیه جداگانه‌ای که پس از انتشار گزارش SecureList منتشر شد، جیامپائولو ددولا (Giampaolo Dedola)، کارشناس امنیتی کسپرسکی، اظهار داشت :

«ToddyCat یک بازیگر تهدیدکننده پیچیده با مهارت‌های فنی بالا است که می‌تواند زیر رادار پرواز کند و راه خود را به سازمان‌های سطح بالا باز کند. علیرغم تعداد حملات کشف شده در سال گذشته، هنوز دید کاملی از عملیات و تاکتیک آنها نداریم. یکی دیگر از ویژگی‌های قابل توجه ToddyCat، تمرکز این گروه هکری بر قابلیت‌های بدافزار پیشرفته، تروجان نینجا (Ninja) به دلیلی این نام را به خود اختصاص داده، است؛ تشخیص گروه هکری سخت و بنابراین متوقف کردن آن نیز سخت است.»