به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان مدعی شدند که یک گروه هکری تحت حمایت دولت روسیه از رباتهای سرقت اطلاعات شخص ثالث و احتمالاً یک درب پشتی مورد استفاده توسط یک گروه هکری دیگر برای نفوذ و جاسوسی از دستگاههای مورد استفاده واحدهای نظامی اوکراینی خط مقدم استفاده کرده است.
مایکروسافت این فعالیت جاسوسی را به مرکز 16 آژانس اطلاعاتی برتر روسیه، سرویس امنیت فدرال، نسبت داد که به عنوان بلیزارد مخفی (Secret Blizzard) ردیابی میشود. این گروه، بین ماه مارس و آوریل سال جاری از بدافزار «Amadey» برای استقرار دربهای پشتی پاورشِل (PowerShell) و درب پشتی «KazuarV2» سفارشی روی دستگاههای هدف استفاده کرد.
هکهای جاسوسی ظاهراً شامل یک تلاش نظارتی 3 مرحلهای برای مکانیابی و گرفتن اطلاعات از دستگاههای مورد استفاده توسط سربازان اوکراینی بود. کارشناسان معتقدند که در مرحله اولیه، بلیزارد مخفی از رباتهای شخص ثالث Amadey برای ضبط اطلاعات دستگاه، از جمله نام دستگاه، وضعیت مدیر و کدهای برنامههای آنتی ویروس نصب شده استفاده کرد.
در مرحله دوم، یک ابزار شناسایی سفارشی را روی دستگاهها در طول تلاشهای اولیه نظارتی، بهویژه دستگاههای نظامی خط مقدم اوکراین مرتبط با آدرسهای «IP Starlink»، مستقر کرد.
در مرحله سوم، گروه از یک فایل اجرایی به نام «procmap.exe» برای استقرار بار پشتی سفارشی «Tavdig» استفاده کرد که اطلاعات بیشتری در مورد اتصالات شبکه دستگاه، اطلاعات ذخیره شده، پچهای نصب شده و ارتباطات با سایر دستگاهها به دست آورد. این گروه همچنین تروجان درپشتی KazuarV2 را برای انجام نظارت پیشرفته روی دستگاههای قربانی مستقر کرد.
هشدار مایکروسافت به دنبال هشدار مشابهی است که این شرکت در 4 دسامبر امسال در مورد Secret Blizzard صادر کرد، که به عنوان گروه «APT Venomous Bear»، «Snake» و تورلا (Turla) نیز ردیابی میشود، که زیرساخت فرماندهی و کنترل یک شبکه جاسوسی مستقر در پاکستان را ربوده تا درهای پشتی خود را در دستگاههای هدف در آسیا مستقر کند. قربانیان شامل وزارت امور خارجه افغانستان، ریاست عمومی اطلاعات و کنسولگریهای خارجی این کشور بودند.
محققان ادعا کردند که بلیزارد مخفی، واقع در شهر ریازان خارج از مسکو، حداقل 25 سال را صرف انجام عملیاتهای جاسوسی مخفی با هدف قرار دادن نهادهای دولتی خارجی برای به دست آوردن اطلاعات مورد استفاده ولادیمیر پوتین کرده است؛ اهداف اصلی این گروه شامل وزارتخانههای امور خارجه، سفارتخانهها، ادارات دولتی، ادارات دفاعی و شرکتهای مرتبط با دفاع در سراسر جهان است.
در طول کمپین مارس تا آوریل سال جاری، Secret Blizzard از رباتهای شخص ثالث Amadey در همان زمانی استفاده کرد که سایر عوامل تهدید از آنها برای استقرار استخراجکنندگان ارزهای دیجیتال «XMRIG» روی دستگاهها استفاده کردند. مایکروسافت اعتقاد دارد که گروه هکری یا از بدافزار Amadey به عنوان یک سرویس استفاده یا به طور مخفیانه به پنلهای فرماندهی و کنترل ربات دسترسی پیدا کرده تا قطره چکانهای پاورشِل را روی دستگاههای هدف قرار دهد.
کارشناسان معتقدند که این گروه احتمالاً از حملات اسپیر فیشینگ برای فریب دادن پرسنل نظامی هدف به منظور دانلود رباتهای Amadey در دستگاهها استفاده کرده است. به گفته مایکروسافت، Secret Blizzard معمولاً از اسپیر فیشینگ به عنوان یک بردار حمله اولیه و از دستگاههای جانبی برای حرکت در شبکههای در معرض خطر استفاده میکند.
ابزار شناسایی سفارشی تزریق شده توسط قطره چکانهای پاورشِل از الگوریتم RC4 برای رمزگشایی یک فایل دستهای استفاده کرد که مجموعهای از دادهها، از جمله درخت دایرکتوری، جلسات فعال، اطلاعات سیستم، جدول مسیر IPv4، اشتراکهای کسبکارهای کوچک و متوسط، گروههای امنیتی فعال و تنظیمات زمان، را از دستگاههای قربانی جمعآوری میکرد.
اطلاعات جمعآوری شده دوباره با RC4 رمزگذاری شده و به سرور فرماندهی و کنترل Secret Blizzard ارسال شد. این ابزار همچنین خط فرمان «cmdlet» را رمزگشایی کرد تا مشخص کند که آیا یک دستگاه قربانی مایکروسافت دیفندر را فعال کرده یا اینکه آیا برنامه قبلاً فعالیتهای مربوط به Amadey را علامتگذاری کرده است.
محققان مایکروسافت همچنین نشانههایی از فعالیت مخفی بلیزارد را مشاهده کردند که دستگاههای نظامی اوکراینی را هدف قرار میداد که توسط یک گروه تهدید دیگر مستقر در روسیه در ماه ژانویه امسال به خطر افتاد. این گروه موسوم به «Storm-1837»، قبلاً دستگاههای مورد استفاده اپراتورهای پهپاد اوکراینی را هدف قرار میداد.
هنگامی که درب پشتی پاورشِلStorm-1837 راهاندازی شد، محققان ادعا کردند که قطره چکان پاورشِل نصب شده روی دستگاه دارای عملکردی مشابه قطره چکانی است که توسط Secret Blizzard هنگام استفاده از رباتهای Amadey استفاده میکرد. قطره چکان حاوی 2 فایل کدگذاری شده base64 شامل بار درپشتی Tavdig و یک باینری سیمانتک بود.
