به گزارش کارگروه حملات سایبری سایبربان؛ گروه باجافزاری «KillSec» آخرین هدف ادعایی خود را اعلام کرد: نیروی هوایی عربستان (RSAF)، بازوی هوانوردی ارتش عربستان سعودی.
KillSec در بیانیهای در کانال تلگرام خود تهدید کرد که دادههای حساس نیروی هوایی عربستان از جمله فایلهای طبقهبندی شده، جزئیات ناوگان و نقشههای فنی هواپیما را افشا خواهد کرد، مگر اینکه باج پرداخت شود.
هکرها طبق یک مدل باجافزار بهعنوان سرویس (RaaS) عمل میکنند و به شرکتهای وابسته امکان میدهند با استفاده از زیرساختهای آن حملات انجام دهند.
این گروه باجافزاری که به استفاده از تاکتیکهای اخاذی مضاعف معروف است، فایلهای مهم را رمزگذاری و همزمان تهدید میکند که در صورت امتناع قربانیان از پرداخت، اطلاعات دزدیده شده را فاش میکند.
انواع باجافزار آنها، مانند «KillSecurity 2.0» و «KillSecurity 3.0»، برای نفوذ به شبکهها از طریق ایمیلهای فیشینگ، آسیبپذیریهای اصلاح نشده و حملات «brute-force» به پروتکلهای دسکتاپ راه دور طراحی شدهاند.
تمرکز اخیر این گروه بر سازمانهای دفاع ملی نشاندهنده تغییر از اهداف قبلی آنها در بخشهای تولید و مراقبتهای بهداشتی است.
تحلیلگران حدس میزنند که خاستگاه KillSec در اروپای شرقی و وابستگیهای احتمالی با سایر گروههای باجافزاری مانند «REvil» یا کونتی (Conti) ممکن است در استراتژیهای حمله پیچیده آنها نقش داشته باشد.
تأثیر بالقوه بر نیروی هوایی عربستان
نیروی هوایی عربستان یکی از اجزای حیاتی زیرساختهای دفاعی این کشور است که قابلیتهای پیشرفته و ناوگانی شامل «F-15 Eagles»، «Eurofighter Typhoons» و «Panavia Tornados» دارد.
اطلاعات حساس در مورد این هواپیماها و جزئیات عملیاتی در صورت فاش شدن میتواند عواقب گستردهای داشته باشد.
چنین دادههایی ممکن است امنیت ملی را به خطر بیندازند و دیدگاههایی را در مورد عملیاتهای تاکتیکی و قابلیتهای فناوری نیروی هوایی عربستان به دشمنان ارائه دهند.
تهدید KillSec همچنین آسیبپذیری محیطهای فناوری عملیاتی (OT) در بخشهای دفاعی را برجسته میکند.
سیستمهای فناوری عملیاتی به دلیل طراحی قدیمیشان، اغلب فاقد تدابیر امنیتی قوی هستند که آنها را به اهداف اصلی حملات باجافزار تبدیل میکند.
جزئیات فنی حملات باجافزاری
حملات باجافزاری معمولاً 3 مرحله را دنبال میکنند:
1. برنامهریزی: مهاجمان آسیبپذیریها را در سیستمهای هدفمند از طریق ایمیلهای فیشینگ یا با بهرهبرداری از نرمافزارهای اصلاحنشده شناسایی میکنند.
2. اجرا: بدافزار فایلهای حساس را با استفاده از تکنیکهای رمزگذاری ترکیبی رمزگذاری و دادهها را به سرورهای راه دور منتقل میکند.
3. پرداخت: قربانیان برای رمزگشایی فایلها یا جلوگیری از نشت دادهها، یادداشتهای باج دریافت میکنند.
پلتفرم باجافزار بهعنوان سرویس KillSec این مراحل را با ارائه ابزارهای وابسته مانند سازندگان بار رمزگذاری و نظارت بر حملات بلادرنگ از طریق پنلهای کنترل مبتنی بر «Tor» تسهیل میکند.
مفاهیم ژئوپلیتیکی
به گفته کارشناسان، باجافزار به طور فزایندهای به ابزاری برای اختلالات ژئوپلیتیک تبدیل شده است. گروههای هکری دولتی اغلب از باجافزار برای بیثبات کردن دولتها یا سازمانهای نظامی استفاده میکنند.
درحالیکه KillSec انگیزههای سیاسی را به صراحت اعلام نکرده است، هدف قرار دادن نیروی هوایی عربستان میتواند نشان دهنده همسویی با برنامههای هکریستی یا دولتی باشد.
استراتژیهای کاهش
برای مقابله با تهدیدات باجافزاری مانند تهدیدات KillSec، کارشناسان موارد زیر را توصیه کردند:
• پچ منظم: اطمینان از رفع سریع تمام آسیبپذیریهای نرمافزار.
• معماری اعتمادصفر (Zero Trust Architecture): محدود کردن دسترسی به سیستمهای حساس فقط برای کاربران تأیید شده.
• جمعآوری اطلاعات تهدید: نظارت بر فعالیت وب تاریک برای نشانههای اولیه حملات احتمالی.
• رمزگذاری داده: رمزگذاری فایلهای حساس به صورت داخلی برای کاهش تأثیر حملات نفوذ.
علاوه بر این، سازمانها باید در راهحلهای شناسایی نقطه پایانی و پاسخ (EDR) سرمایهگذاری کنند تا ناهنجاریها را پیش از اجرای بارهای پرداختی توسط مهاجمان، شناسایی کنند.
هدف قرار دادن نیروی هوایی عربستان توسط KillSec بر ماهیت در حال تحول تهدیدات سایبری در سال 2025 تأکید میکند.
از آنجایی که گروههای باجافزاری تمرکز خود را از نهادهای شرکتی به سازمانهای دفاع ملی گسترش میدهند، دولتها در سراسر جهان باید انعطافپذیری امنیت سایبری را در اولویت قرار دهند.
اینکه آیا نیروی هوایی عربستان از خواستههای KillSec پیروی میکند یا دادههای حساس در معرض خطر قرار گرفتهاند، هنوز مشخص نیست، اما یک چیز واضح است: خطرات حملات باجافزاری بسیار افزایش یافته است.
