انتشار شده در تاریخ 1404/08/11 - 14:40

نفوذ هکرهای روسی به نهادهای اوکراینی با ابزارهای داخلی سیستم

پژوهشگران اعلام کرده‌اند که هکرهای مظنون به ارتباط با روسیه، در تابستان امسال با استفاده از ابزارهای مدیریتی عادی، به شبکه‌های اوکراینی نفوذ کرده‌اند تا داده‌ها را سرقت کرده و بدون شناسایی باقی بمانند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارشی از شرکت امنیت سایبری سیمناتک (Symantec)، مهاجمان در دو حمله جداگانه در اوایل سال جاری، یک شرکت بزرگ خدمات تجاری اوکراینی و یک نهاد دولتی محلی را هدف قرار داده‌اند.

آنچه این حملات را چشمگیر می‌سازد این است که هکرها از بدافزارهای سفارشی اندکی استفاده کردند و در عوض، به‌شدت متکی بر تاکتیک‌هایی موسوم به زندگی با منابع سیستم (living-off-the-land) بودند؛ یعنی بهره‌گیری از نرم‌افزارهای قانونی که پیش‌تر در شبکه قربانیان وجود داشته‌اند.

پژوهشگران عنوان کردند:

در حالی که بیشتر فعالیت‌های مخرب در شبکه هدف شامل استفاده از ابزارهای موجود در سیستم و ابزارهای دوکاربردی بود، مهاجمان چند فایل اجرایی مشکوک — که به‌احتمال زیاد بدافزار بودند — و چند در پشتی مبتنی بر پاورشل (PowerShell) را نیز به کار گرفتند.

آن‌ها افزودند که این ابزارها «هنوز برای تحلیل دقیق به‌دست نیامده‌اند.»

سیمانتک اعلام کرد که مهاجمان از طریق قرار دادن وب‌شل‌ها بر روی سرورهای عمومی شرکت خدمات تجاری، به آن دسترسی یافته‌اند؛ احتمالا با سوءاستفاده از آسیب‌پذیری‌های رفع‌نشده.

وب‌شل‌ها اسکریپت‌های مخربی هستند که به مهاجمان اجازه دسترسی غیرمجاز به سرور را می‌دهند.

یکی از این وب‌شل‌ها با نام لوکالولایو (Localolive)، پیش‌تر از سوی مایکروسافت به گروه سند وورم (Sandworm) نسبت داده شده بود؛ واحد معروف هکری نظامی روسیه که متهم به اجرای برخی از ویرانگرترین حملات سایبری علیه اوکراین و سایر کشورهاست.

گرچه سیمانتک نتوانست ارتباط مستقیم با سند وورم را تأیید کند، اما بیان کرد که فعالیت‌ها به‌نظر می‌رسد از روسیه منشأ گرفته باشد.

گروه سند وورم که دولت‌های غربی آن را زیرمجموعه سازمان اطلاعات نظامی روسیه (GRU) می‌دانند، پیش‌تر مسئول خاموشی‌های شبکه برق اوکراین و بدافزار اسید رین (AcidRain) شناخته شده که در آغاز تهاجم تمام‌عیار مسکو، هزاران مودم ماهواره‌ای ویاست (Viasat) را از کار انداخت.

پژوهشگران افزودند:

مهاجمان دانش عمیقی از ابزارهای بومی ویندوز نشان دادند و ثابت کردند که چگونه یک عامل ماهر می‌تواند حمله‌ای را پیش ببرد و اطلاعات حساسی مانند اعتبارنامه‌ها را سرقت کند، در حالی که ردپایی حداقلی بر جای می‌گذارد.

نام سازمان‌های هدف اعلام نشده است و هنوز مشخص نیست چه اطلاعاتی — در صورت وجود — به سرقت رفته است.

مقام‌های سایبری اوکراین بارها هشدار داده‌اند که روسیه همچنان در کنار عملیات نظامی خود، کارزارهای تهاجمی هکری را دنبال می‌کند.

در اوایل ماه جاری، مرکز واکنش اضطراری سایبری اوکراین (CERT-UA) گزارش داد که تعداد حملات سایبری علیه نهادهای اوکراینی در نیمه نخست سال ۲۰۲۵ از ۳ هزار مورد فراتر رفته و افزایشی ۲۰ درصدی نسبت به سال گذشته داشته است.

پژوهشگران غربی، از جمله تیم اطلاعات تهدید شرکت گوگل، گروه سند وورم را خطرناک‌ترین واحد سایبری کرملین توصیف کرده‌اند که در طیفی کامل از عملیات‌ها، از جاسوسی و خرابکاری گرفته تا کارزارهای اطلاعات نادرست، فعالیت می‌کند.