ارتباط حمله سایبری به رسانه‌های روسی با مؤسسه تحریم شده توسط آمریکا

به گزارش کارگروه بین‌الملل سایبربان؛ طبق تحقیقات جدید، یک ارائه‌دهنده خدمات میزبانی وب روسی که در حمله سایبری اخیر علیه سازمان‌های رسانه‌ای مستقل در این کشور دست داشته، ظاهراً به یک مرکز تحقیقاتی وابسته به دولت، تحت تحریم ایالات متحده، متصل است.

این ارائه‌دهنده خدمات میزبانی وب موسوم به «Biterika»، یک سوم ترافیک ناخواسته‌ای را ایجاد کرد که وب‌سایت‌های «IStories» و «Verstka» را پس از انتشار افشاگری در مورد یک شبکه قاچاق جنسی کودکان در روسیه پر کرد که ظاهراً شامل الیگارش‌ها و دیگر چهره‌های قدرتمند بود.

به گفته محققان «Qurium»، سازمان پزشکی قانونی دیجیتال مستقر در سوئد، ظرف چند ساعت پس از انتشار این گزارش، هر 2 سازمان دچار حملات هماهنگ منع سرویس (DoS) شدند که برای اختلال در دسترسی به وب‌سایت‌های آنها طراحی شده بود.

Biterika پیش از این به عنوان یک ارائه‌دهنده خدمات میزبانی وب پرخطر شناخته شده بود. این شرکت با خدمات ناشناس‌سازی، سوءاستفاده از پروکسی و زیرساخت‌هایی مرتبط است که فعالیت اینترنتی بالقوه مخرب را ممکن می‌سازد.

والنتینا آلشینا (Valentina Aleshina)، مالک اصلی این شرکت، مهندس نرم‌افزار در یک مرکز فناوری وابسته به دولت روسیه است که بخشی از مؤسسه فناوری الکترونیک مسکو است و از سال ۲۰۲۳ به دلیل نقشش در توسعه فناوری نظامی توسط ایالات متحده تحریم شده است. به گفته کوریوم، آلشینا بنا به گزارش‌ها در طراحی نرم‌افزار نظامی مورد استفاده در تراشه‌های تولید داخل نقش داشته است.

در حالی که نام خود آلشینا در هیچ فهرست تحریم‌های بین‌المللی ذکر نشده، یافته‌های کوریوم نشان می‌دهد که او نقش کلیدی در انتقال زیرساخت‌های فنی از مؤسسه وابسته به دولت به بیتریکا داشته است. کوریوم گفت که شبکه از کار افتاده او، «AS208475»، زمانی نزدیک به 10 هزار آدرس آی‌پی داشت که بخش‌های بزرگی از آنها در سیستم‌های بیتریکا جذب شده بودند.

محققان معتقدند که استفاده آلشینا از زیرساخت‌های مرتبط با یک مؤسسه روسی تحریم‌شده و ارتباط او با یک ارائه‌دهنده میزبانی پرخطر، نگرانی‌های قابل توجهی را در مورد انتساب و انطباق ایجاد می‌کند.

کارشناسان اظهار داشتند:

«پرونده او به عنوان نمونه‌ای هشداردهنده از چگونگی اعمال نفوذ عملیاتی توسط نهادهای تحریم‌شده از طریق افراد وابسته و دارایی‌های فنی ثبت‌شده مستقل عمل می‌کند.»

سرویس‌های پروکسی اغلب برای پنهان کردن ریشه‌های واقعی فعالیت‌های مخرب اینترنتی مورد سوءاستفاده قرار می‌گیرند. به اصطلاح میزبان‌های ضدگلوله عمداً محتوا یا فعالیتی را که در سرورهای خود مجاز می‌دانند نادیده می‌گیرند، حتی اگر غیرقانونی، غیراخلاقی یا ناقض شرایط خدمات باشد. این ارائه‌دهندگان چشم خود را روی فیشینگ، بدافزار، بات‌نت، هرزنامه، مطالب سوءاستفاده از کودکان یا ابزارهای هک می‌بندند.

ایالات متحده سرویس میزبانی ضدگلوله «Aeza Group» مستقر در سن پترزبورگ را تحریم کرد. در ماه فوریه گذشته، سرویس میزبانی ضدگلوله روسی «Zservers» را تحریم کرد که برای تسهیل حملات باج‌افزاری توسط باند لاک‌بیت (LockBit) استفاده می‌شد. سال گذشته، کوریوم زیرساخت‌های مستقر یا ثبت‌شده در اروپا را که توسط یک شبکه پرکار اطلاعات نادرست روسی زبان به نام «Doppelgänger» و همچنین توسط مجرمان سایبری استفاده می‌شد، کشف کرد. در هسته عملیات Doppelgänger در اروپا و روسیه، شرکتی به نام Aeza قرار دارد، یک ارائه دهنده خدمات میزبانی وب مستقر در سن پترزبورگ که به مجرمان مظنون اجازه می‌دهد تا روی سرورهای آن فعالیت کنند و طبق گزارش‌ها، بسیاری از مشتریان خود را در دارک نت پیدا می‌کند.

در گزارشی که هفته گذشته منتشر شد، شرکت امنیت سایبری آمریکایی «Trustwave» عنوان کرد که عامل تهدید معروف به «Blind Eagle» از سرویس میزبانی وب ضد گلوله روسی «Proton66» برای میزبانی انواع مختلف محتوای مخرب، از جمله صفحات فیشینگ، استفاده کرده است.