حمله هکرهای روسی به شرکت‌های دفاعی اوکراین

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که هکرهای روسی در یک کمپین جدید، شرکت‌های نظامی و دفاعی اوکراین را هدف قرار داده‌اند؛ عامل تهدید پشت این کمپین، که توسط تیم واکنش اضطراری کامپیوتری نظامی اوکراین (MIL.CERT-UA) با نام «UAC-0185» معرفی شده، ایمیل‌های فیشینگ را به عنوان دعوت‌نامه‌هایی برای یک کنفرانس دفاعی قانونی که هفته گذشته در کی‌یف برگزار شد، ارسال کرده است.

به گفته کارشناسان، گروه هکری که با نام «UNC4221» نیز شناخته می‌شود، حداقل از سال 2022 فعال بوده و عمدتاً با سرقت اطلاعات اعتباری از طریق برنامه‌های پیام‌رسان مانند سیگنال، تلگرام و واتس‌اپ و همچنین از طریق سیستم‌های نظامی محلی مانند دلتا، تنتا و کروپیوا، پرسنل نظامی اوکراینی را هدف قرار داده است.

تیم واکنش اضطراری کامپیوتری نظامی اوکراین مدعی شد که علاوه بر به خطر افتادن حساب‌ها، مهاجمان به طور انتخابی حملات سایبری را برای دسترسی غیرمجاز از راه دور به رایانه‌های کارکنان مجتمع دفاعی-صنعتی و نیروهای دفاعی اوکراین انجام داده‌اند.

اوکراین این گروه را به کشور خاصی نسبت نداد، اما محققان قبلاً UNC4221 را به روسیه مرتبط کرده بودند. تاکتیک‌ها و اهداف این گروه با آن‌هایی که معمولاً هکرهای مورد حمایت مسکو به کار می‌برند، همسو هستند.

گروه هکری فوق از ابزارهای شناخته شده‌ای برای آلوده کردن دستگاه‌های قربانیان خود از جمله «MeshAgent» و «UltraVNC»، یک نرم افزار منبع باز مورد استفاده برای مدیریت از راه دور سیستم‌های رایانه‌ای، استفاده می‌کند.

اوایل ماه اوت سال جاری، محققان اظهار داشتند که عامل تهدید موسوم به «UAC-0198»، از بدافزار پشتی مبتنی بر MeshAgent برای آلوده کردن بیش از 100 رایانه دولتی اوکراین استفاده کرد.

طبق تجزیه و تحلیل شرکت امنیت سایبری «MalwareBytes»، MeshAgent می‌تواند به روش‌های مختلف به سیستم‌ها نفوذ کند که اغلب در نتیجه کمپین‌های ایمیلی حاوی ماکروهای مخرب است. نرم‌افزار UltraVNC همچنین می‌تواند توسط هکرها برای به دست آوردن کنترل سیستم مورد نظر و نصب درهای پشتی مورد استفاده قرار گیرد.

شرکت‌های نظامی و دفاعی اوکراین، اهداف مشترک هکرها هستند که ظاهراً با روسیه ارتباط دارند. اوایل ماه ژوئیه امسال، عامل تهدید «UAC-0180»، تلاش کرد با استفاده از ایمیل‌های مخربی که تحت عنوان قراردادهای خرید هواپیماهای بدون سرنشین پنهان شده بودند، به سیستم‌های شرکت‌های دفاعی اوکراینی دسترسی پیدا کند.

کارشناسان ادعا کردند که در یک کمپین در ماه ژوئن 2024، گروه موسوم به وِرمین (Vermin) به نیروهای مسلح اوکراین با بدافزار «Spectr» حمله کرد تا اطلاعات حساس دستگاه‌های آنها را بدزدد.

در همان دوره، محققان در مورد حملات هکرهای تحت حمایت دولت بلاروس موسوم به «Ghostwriter» به وزارت دفاع اوکراین هشدار دادند.

پیش از این تیم واکنش اضطراری رایانه‌ای اوکراین در مورد حملات سایبری علیه پرسنل ارتش این کشور و سرویس‌های دفاعی با استفاده از بدافزار «DarkCrystal» هشدار داده بود که می‌تواند به مهاجمان امکان دسترسی از راه دور به دستگاه قربانی را بدهد.