ارتباط گروه چینی با حملات سایبری علیه شرکت‌های فناوری روسیه

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری روسی پازتیو تکنولوژی (Positive Technologies) در پژوهشی که پنج‌شنبه منتشر کرد، گفت این کارزار که تا سال جاری ادامه داشت، «برنامه‌ریزی‌شده» بود و به مهاجمان امکان می‌داد مدت‌ها بدون شناسایی باقی بمانند.

گزارش‌های عمومی درباره عملیات سایبری چین علیه روسیه کم‌سابقه است، زیرا این دو کشور به‌طور گسترده به‌عنوان شرکای راهبردی دیده می‌شوند.

در اکتبر امسال، شرکت آمریکایی سیمانتک (Symantec) عملیات جاسوسی علیه یک ارائه‌دهنده خدمات فناوری اطلاعات روسی را به گروه جوئل باگ (Jewelbug)؛ یک گروه دیگر وابسته به چین، نسبت داد.

گزارش شرکت پازتیو تکنولوژی از سوی نهادی منتشر می‌شود که ارتباط نزدیک‌تری با کرملین دارد.

این شرکت در سال ۲۰۲۱ توسط آمریکا تحریم شد، زیرا گفته می‌شد از سرویس‌های اطلاعاتی نظامی و غیرنظامی روسیه، پشتیبانی فناوری اطلاعاتی ارائه کرده است.

در اوت سال گذشته، شرکت روسی کسپرسکی (Kaspersky) اعلام کرد که هکرها ده‌ها رایانه متعلق به نهادهای دولتی و شرکت‌های فناوری روسیه را با ابزارهای مخرب مرتبط با عوامل تهدید چینی، از جمله APT31 و APT27، هدف قرار داده‌اند.

به‌گفته پازتیو تکنولوژی، مهاجمان از ترکیبی از ابزارهای عمومیِ قابل‌دسترس و بدافزارهای سفارشی استفاده کرده‌اند.

پژوهشگران بیان کردند که هکرها با هدایت فرمان‌ها از طریق حساب‌ها در شبکه‌های اجتماعی و پلتفرم‌های محبوب وب، فعالیت خود را پنهان کرده‌اند، زیرا این ترافیک ظاهری مشروع داشت و شناسایی آن دشوار بود.

این گروه همچنین مراحل کلیدی عملیات را طوری زمان‌بندی کرده که با آخر هفته‌ها و تعطیلات عمومی هم‌زمان باشد؛ از جمله نفوذهای گسترده در طول جشن‌های سال نو، زمانی که زیرساخت‌های سازمانی فعال است اما نیروی انسانی حداقلی است.

در یک مورد، پژوهشگران متذکر شدند که مهاجمان از اواخر ۲۰۲۲ دسترسی به سامانه‌های یک شرکت فناوری اطلاعات روسی را حفظ کرده بودند و فعالیت خود را در تعطیلات سال نو ۲۰۲۳ از سر گرفتند.

در حادثه‌ای دیگر در دسامبر ۲۰۲۴، یک ایمیل فیشینگ با یک درخواست جعلی خرید دولتی، بدافزاری را روی رایانه‌های قربانیان نصب کرد.

داده‌های سرقت‌شده از طریق سرویس ابری روسیه، یاندکس کلاود (Yandex Cloud)، منتقل شده است.

گروه APT31 که با نام‌های زیرکونیوم (Zirconium) و جاجمنت پاندا (Judgement Panda) نیز شناخته می‌شود، بارها توسط دولت‌های غربی به تلاش‌های جاسوسی دولتی چین مرتبط شده است، اگرچه پازتیو تکنولوژی در گزارش خود اشاره‌ای به پکن نکرده است.

در ماه ژوئیه، دولت بریتانیا APT31 را متهم کرد که به کمیسیون انتخابات این کشور نفوذ کرده و به داده‌های شخصی نزدیک به ۴۰ میلیون نفر دسترسی یافته است.

پازتیو تکنولوژی نوشت:

گروه APT31 همچنان فعال است و این گروه به تکامل خود ادامه می‌دهد. در کنار ابزارهای قدیمی، این گروه امسال زرادخانه خود را با تعداد قابل‌توجهی درب پشتی (backdoor) جدید گسترش داده است.