ادعای کاربرد بدافزار جدید روسی برای سرقت اطلاعات اوکراین

به گزارش کارگروه بین‌الملل سایبربان؛ محققان امنیتی ادعا کرده‌اند که اخیراً یک گروه هکر روسی در پشت حملات سایبری مخرب بدافزار «WhisperGate» قرار داشتند و نهادهای اوکراینی را با یک بدافزار جدید سرقت اطلاعات هدف قرار می‌دادند.

تیم شکارچی تهدید سیمنتک (Symantec) این کمپین را به یک عامل تهدید سایبری مرتبط با روسیه، که به طور گسترده با نام «TA471» یا «UAC-0056» شناخته می‌شود، نسبت داده که از اوایل سال 2021 فعال بوده است. این گروه به حمایت از منافع دولت روسیه معروف است و اوکراین را هدف قرار می‌دهد و همچنین علیه کشورهای عضو ناتو در آمریکای شمالی و اروپا فعال بوده است. TA471 به WhisperGate، یک بدافزار مخرب پاک‌کننده داده‌ها، که در حملات سایبری متعدد علیه اهداف اوکراینی در ژانویه 2022 مورد استفاده قرار گرفت، پیوند داده شده است. این بدافزار به عنوان باج‌افزار ظاهر می‌شود، اما دستگاه‌های هدف را کاملاً غیرقابل اجرا می‌کند و حتی در صورت پرداخت باج، نمی‌تواند فایل‌ها را بازیابی کند.

به گفته شرکت سیمنتک، جدیدترین کمپین گروه هکری روس برای هدف قرار دادن سازمان‌های اوکراینی به بدافزار سرقت اطلاعاتی که قبلاً دیده نشده بود، متکی است. محققان مدعی شدند که این بدافزار برای سرقت داده‌های ماشین‌های آلوده از اکتبر 2022 تا حداقل اواسط ژانویه 2023 مورد استفاده قرار گرفت و کارشناسان فرض کردند که بخشی از ابزار [هکرها] باقی می‌ماند.

این بدافزارِ سرقت اطلاعات از نام فایل‌هایی استفاده می‌کند که به‌عنوان فایل‌های آفیس قانونی مایکروسافت جلوه می‌کنند و شبیه به ابزارهای دیگر TA471، مانند «GraphSteel» و «GrimPlant» است که قبلاً به عنوان بخشی از یک کمپین اسپیرفیشینگ به‌ویژه برای هدف قرار دادن ارگان‌های دولتی اوکراین استفاده می‌شد. اما سیمنتک عنوان کرد که Graphiron به گونه‌ای طراحی شده که داده‌های بسیار بیشتری از جمله اسکرین‌شات‌ها و کلیدهای خصوصی «SSH» را استخراج کند.

دیک اوبراین (Dick O’Brien)، تحلیلگر اصلی تیم شکارچی تهدید سیمنتک در گفتگو با وبگاه تخصصی «TechCrunch» اظهار داشت :

«این اطلاعات می‌تواند به خودی خود از منظر اطلاعاتی مفید باشد یا برای نفوذ عمیق‌تر به سازمان هدف یا برای انجام حملات مخرب استفاده شود. در حالیکه اطلاعات کمی در مورد منشاء یا راهبرد گروه هکری وجود دارد، TA471 به یکی از عوامل کلیدی در کمپین‌های سایبری روسیه علیه اوکراین تبدیل شده است.»

اخبار جدیدترین کمپین جاسوسی TA471 چند روز پس از آن منتشر شد که دولت اوکراین زنگ خطر دیگری را در مورد یک گروه هکری تحت حمایت دولت روسیه به نام «UAC-0010» به صدا درآورد و مدعی شد که همچنان به حملات سایبری مکرر علیه سازمان‌های اوکراینی ادامه می‌دهد.

مرکز حفاظت سایبری دولتی اوکراین گفت : «علیرغم استفاده از مجموعه‌های تکراری تکنیک‌ها و رویه‌ها، دشمنان به آرامی اما با اصرار در تاکتیک‌های خود تکامل می‌یابند و انواع بدافزارهای مورد استفاده را دوباره توسعه می‌دهند تا شناسایی نشوند. بنابراین، یکی از تهدیدات سایبری کلیدی پیش روی سازمان‌ها در کشور ما باقی می‌ماند.»