شناسایی جاسوس‌افزار ایتالیایی در نفوذ به سیستم‌های روسیه و بلاروس

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی که دوشنبه منتشر شد، پژوهشگران شرکت کسپرسکی بیان کردند که جاسوس‌افزار تجاری این شرکت، موسوم به دانته (Dante)، در چندین حمله مرتبط با یک گروه هکری با نام فروم ترول (ForumTroll) شناسایی شده است.

کسپرسکی اعلام کرد هیچ مدرکی دال بر آلودگی فعال به دانته در میان مشتریانش وجود ندارد و پژوهشگران نتوانسته‌اند مشخص کنند چه کسی عملیات فروم ترول را سفارش داده است.

همچنین معلوم نیست مهاجمان برای استفاده از این جاسوس‌افزار چقدر پرداخت کرده‌اند یا اینکه آیا شرکت سازنده از استفاده آن آگاه بوده است یا نه.

پژوهشگران نوشتند:

تسلط به زبان روسی و آشنایی با ویژگی‌های محلی از مشخصه‌های متمایز گروه فروم ترول است؛ ویژگی‌هایی که در سایر کارزارهای این گروه نیز مشاهده کرده‌ایم. با این حال، اشتباهاتی که در برخی از موارد دیگر دیده شده، نشان می‌دهد مهاجمان احتمالاً روس‌زبان بومی نیستند.

شرکت ممنتو لبز (Memento Labs) مستقر در میلان که پیشتر با نام هکینگ تیم (Hacking Team) شناخته می شد، به درخواست‌ها برای اظهارنظر پاسخ نداده است.

به گفته پژوهشگران، این گزارش نخستین نمونه مستند از استفاده واقعی از جاسوس‌افزار دانته در حملات سایبری است؛ جاسوس‌افزاری که در سال ۲۰۲۳ توسط ممنتو لبز در یک کنفرانس بسته برای نهادهای اطلاعاتی و مجری قانون معرفی شده بود.

کشف کسپرسکی نتیجه جانبی تحقیق درباره یک حمله جاسوسی سایبری فروم ترول در ماه مارس سال جاری بود.

هکرها در آن عملیات، رسانه‌ها، دانشگاه‌ها، مراکز پژوهشی، نهادهای دولتی و سازمان‌های مالی روسیه را با ایمیل‌های فیشینگ هدف قرار دادند که ظاهراً دعوت‌نامه‌ای برای حضور در یک انجمن علمی و تخصصی مشهور روسی بود.

به گفته پژوهشگران، مهاجمان در این ایمیل‌ها پیوندهای مخربی ارسال کردند که از یک آسیب‌پذیری روز-صفر در مرورگر گوگل کروم سوءاستفاده می‌کرد.

کسپرسکی این نقص را که اکنون با شناسه CVE-2025-2783 ثبت شده، به گوگل گزارش داد و گوگل نیز آن را برطرف کرد.

پژوهشگران اظهار داشتند که جاسوس‌افزار دانته در آن کارزار خاص استفاده نشد، اما بررسی رویدادهای فروم ترول در نهایت کسپرسکی را به کشف این جاسوس‌افزار در مکان‌های دیگر رساند.

در تازه‌ترین کارزار فروم ترول، به گفته پژوهشگران، از ابزار سفارشی این گروه به نام لیت ایجنت (LeetAgent) استفاده شده است.

آن‌ها گفتند در برخی موارد، لیت ایجنت به‌عنوان بارگذار (Loader) برای دانته عمل می‌کرد که بسیار پیشرفته‌تر است.

لیت ایجنت دست‌کم از سال ۲۰۲۲ فعال بوده است.

شرکت هکینگ تیم پیش از آنکه در سال ۲۰۱۵ دچار نشت عظیم داده شود، ابزارهای نفوذ و نظارت را به مشتریان دولتی در سراسر جهان می‌فروخت.

طبق گزارش نهاد دیده‌بان حقوق دیجیتال سیتیزن لب (Citizen Lab)، این شرکت به دلیل فروش جاسوس‌افزار سیستم کنترل از راه دور (RCS) به کشورهایی که «نقض جدی و مستمر حقوق بشر» در آن‌ها جریان داشت، به‌شدت مورد انتقاد قرار گرفت.

در گزارشی در سال ۲۰۱۴، سیتیزن لب اعلام کرد که سیستم کنترل از راه دور دست‌کم در ۲۰ کشور از جمله عربستان سعودی، سودان، مکزیک، جمهوری آذربایجان، مصر، مجارستان، ایتالیا و قزاقستان استفاده شده است.

پس از آن نشت، شرکت مذکور خریداری و با نام جدید ممنتو لبز بازسازی شد و همچنان به بازاریابی «راهکارهای اطلاعاتی» خود برای سازمان‌های اطلاعاتی و نهادهای مجری قانون ادامه داده است.