انتشار شده در تاریخ 1404/01/19 - 15:12

ادعای جاسوسی از قربانیان اوکراینی با جعل هویت آژانس‌های دولتی

هکرها وانمود کردند که شرکت‌های هواپیماهای بدون سرنشین و آژانس‌های دولتی هستند تا از قربانیان اوکراینی جاسوسی کنند.

به گزارش کارگروه بین‌الملل سایبربان؛ دولت اوکراین در تحقیقات جدید خود ادعا کرد که هکرها هویت سازندگان پهپادهای اوکراینی و آژانس‌های دولتی را هک می‌کنند تا سیستم‌های هدفمند را با بدافزار سرقت اطلاعات آلوده کنند.

اهداف این حملات شامل نیروهای مسلح اوکراین، سازمان‌های مجری قانون و نهادهای دولتی محلی، به ویژه آنهایی هستند که در نزدیکی مرز شرقی این کشور، نزدیک به روسیه است.

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA)، که از فوریه امسال این فعالیت را دنبال می‌کند، این کمپین را به هیچ گروه هکری شناخته شده نسبت نداد. آنها عامل تهدید را با نام «UAC-0226» دنبال می کنند.

هکرها برای آلوده کردن اهداف خود، ایمیل‌هایی با پیوست‌های اسناد مخرب از حساب‌های در معرض خطر، از جمله ایمیل‌های اینترنتی، ارسال کردند. نام فایل یا خطوط موضوع این ایمیل‌ها اغلب به موضوعاتی مانند پاکسازی مین، جریمه‌های اداری، تولید هواپیماهای بدون سرنشین یا غرامت برای اموال تخریب شده اشاره دارد.

از ماه آوریل سال جاری، هکرها دو نوع بدافزار را علیه اهداف خود مستقر کرده‌اند: یکی یک اسکریپت مبتنی بر کد است که به صورت عمومی در مخزن گیت‌هاب (GitHub) در دسترس است؛ دومی که «GiftedCrook» نام دارد، برای سرقت داده‌های مرورگر مانند کوکی‌ها، تاریخچه و رمزهای عبور ذخیره شده، از کروم، اِج و فایرفاکس طراحی شده است. بنابر ادعای تیم واکنش اضطراری رایانه‌ای اوکراین، داده‌های دزدیده شده سپس فشرده و برای استخراج به تلگرام ارسال می‌شوند.

محققان جزئیات زیادی در مورد این حملات ارائه نکرده‌اند، اما نمونه‌هایی از ایمیل‌های فیشینگ، از جمله تصاویر پهپادهایی که ظاهراً برای فروش عرضه شده‌اند و دیگری شبه برنامه‌ای برای مین‌زدایی در یکی از شهرهای اوکراین، را درج کرده‌اند.

تیم واکنش اضطراری رایانه‌ای اوکراین اخیراً ادعا کرد که حداقل 3 حمله سایبری در ماه مارس سال جاری کشف کرده که سازمان‌های دولتی اوکراین و زیرساخت‌های حیاتی را با بدافزار جدید جاسوسی به نام «Wrecksteel» هدف قرار داده‌اند.

در آن کمپین، هکرها از حساب‌های در معرض خطر برای ارسال پیام‌هایی حاوی پیوندهایی به سرویس‌های اشتراک‌گذاری فایل عمومی مانند «DropMeFiles» و گوگل درایو (Google Drive) استفاده کردند. پس از باز شدن، پیوندها یک اسکریپت پاورشِل (PowerShell) را اجرا کردند که مهاجمان را قادر می‌سازد اسناد متنی، پی‌دی‌اف، تصاویر و ارائه‌ها را استخراج کنند و همچنین از دستگاه‌های آلوده اسکرین شات بگیرند.