حمله فیشینگ هکرهای روسی به سازمان گردشگران بدون مرز

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان غربی ادعا کردند که یک عامل تهدید وابسته به روسیه در یک کمپین فیشینگ تلاش کرد تا سازمان غیرانتفاعی گزارشگران بدون مرز (RSF) را به خطر بیندازد.

این گروه هکری، که با نام‌های کالیستو (Callisto)، «ColdRiver» یا «Star Blizzard» نیز شناخته می‌شود و قبلاً به گفته دولت‌های غربی به سرویس امنیت فدرال روسیه (FSB) مرتبط بود، حداقل از سال ۲۰۱۷ فعال بوده و به خاطر عملیات جمع‌آوری اطلاعات محرمانه علیه سازمان‌های مردم‌نهاد، نهادهای دولتی و سازمان‌های حامی اوکراین شناخته می‌شود.

به گفته شرکت امنیت سایبری «Sekoia»، یکی از اعضای اصلی سازمان گزارشگران بدون مرز در ماه مارس امسال یک ایمیل فیشینگ از یک حساب «ProtonMail» دریافت کرد که خود را به عنوان یک مخاطب مورد اعتماد جا زده بود. این پیام که به زبان فرانسوی نوشته شده بود و از امضای ایمیل صحیح استفاده می‌کرد، از گیرنده می‌خواست سندی را بررسی کند اما پیوستی نداشت، تاکتیکی که کالیستو قبلاً برای ترغیب اهداف به درخواست فایل پیگیری استفاده کرده بود.

هنگامی که عضو سازمان سند گمشده را درخواست کرد، مهاجم به زبان انگلیسی با لینکی که در یک وب‌سایت هک شده میزبانی شده بود، پاسخ داد. سِکویا گفت که این لینک برای هدایت قربانی به یک فایل پی‌دی‌اف مخرب طراحی شده بود، اما پس از مسدود شدن حساب اپراتور توسط پروتون‌میل، فایل قابل بازیابی نبود.

سازمان گزارشگران بدون مرز، که از خبرنگاران تحت تهدید پشتیبانی و به روزنامه‌نگاران روسی کمک می‌کند تا از کشور فرار کنند، در ماه اوت سال جاری توسط کرملین به عنوان سازمان نامطلوب نامگذاری شد، عنوانی که عملاً فعالیت آن را در روسیه جرم‌انگاری می‌کند.

این سازمان به طور علنی در مورد تلاش برای نفوذ یا انگیزه‌های مشکوک هکرها اظهار نظر نکرده است.

سِکویا ادعا کرد که سازمان دیگری، که محققان نام آن را ذکر نکردند، با فریب مشابهی هدف قرار گرفت. در آن مورد، قربانی یک فایل پی‌دی‌اف جعلی دریافت کرد که ظاهراً نشان می‌داد فایل رمزگذاری شده و به کاربر دستور می‌داد آن را از طریق پروتون‌درایو باز کند. کلیک روی لینک، هدف را به یک کیت فیشینگ هدایت می‌کرد که برای جمع‌آوری اطلاعات کاربری پروتون‌میل طراحی شده بود.

این کیت به قربانیان یک صفحه ورود جعلی پروتون‌میل نشان می‌داد که آدرس ایمیل از قبل در آن پر شده بود. جاوا اسکریپت تزریق‌شده، مکان‌نما را مجبور می‌کرد در فیلد رمز عبور باقی بماند، ترفندی که برای افزایش احتمال ورود اطلاعات کاربری توسط هدف طراحی شده بود.

به گفته کارشناسان غربی، کالیستو به خاطر کمپین‌های جاسوسی علیه دولت‌های غربی، پیمانکاران دفاعی، مؤسسات تحقیقاتی و سازمان‌های مردم‌نهاد، با تمرکز ویژه بر اروپای شرقی و کشورهای حامی اوکراین، شناخته شده است. اهداف قبلی شامل سازمان‌های مرتبط با ناتو، یک شرکت دفاعی اوکراینی و افرادی با تخصص در مورد روسیه بودند.

به عنوان مثال، سپتامبر گذشته، بنیاد روسیه آزاد مستقر در ایالات متحده اعلام کرد که پس از افشای هزاران ایمیل و سند داخلی از جمله گزارش‌ها و مکاتبات اعطای کمک‌های مالی به صورت آنلاین، در حال بررسی یک نفوذ است. این سازمان اعتقاد دارد که این نفوذ به کالیستو مرتبط بوده و مهاجمان برای سرقت داده‌ها به تعدادی از نهادها نفوذ کرده‌اند.