انتشار شده در تاریخ 1404/06/29 - 12:25

اتحاد گروه‌های هکری روسی برای حمله به اوکراین

کارشناسان ادعا کردند که گروه‌های هکری روسی تورلا و گامارِدون برای هک اوکراین با هم متحد شده‌اند.

به گزارش کارگروه حملات سایبری سایبربان؛ محققان ادعا کردند که اولین همکاری مستند در اوکراین بین دو گروه هکری روسی تورلا (Turla) و گامارِدون (Gamaredon) مشاهده شده که هر دو با سرویس امنیت فدرال روسیه (FSB) مرتبط هستند.

بنابر ادعای مقامات اوکراینی، گامارِدون که حداقل از سال ۲۰۱۳ فعال بوده و گمان می‌رود از شبه جزیره کریمه که به روسیه ضمیمه شده، فعالیت می‌کند، همچنان فعال‌ترین عامل تهدید تحت حمایت دولت اوکراین است. این گروه معمولاً خدمات دولتی و شرکت‌های دفاعی را هدف قرار می‌دهد.

تورلا که حداقل از سال ۲۰۰۴ فعال است، به خاطر عملیات‌های جاسوسی پیچیده علیه دولت‌ها و نهادهای دیپلماتیک در اروپا، آسیای مرکزی و خاورمیانه شناخته می‌شود.

در ماه فوریه سال جاری، شرکت امنیت سایبری «ESET» اعلام کرد که 4 مورد را شناسایی کرده که در آنها هر دو گروه، دستگاه‌های یکسانی از اوکراین را به خطر انداخته‌اند. گامارِدون طیف وسیعی از ابزارهای سفارشی خود از جمله «PteroLNK»، «PteroStew»، «PteroOdd»، «PteroEffigy» و «PteroGraphin» را مستقر کرده، درحالی‌که تورلا درب پشتی «Kazuar v3» خود را نصب کرده است. حداقل در یک مورد، محققان مشاهده کردند که تورلا از طریق یک ایمپلنت گامارِدون، بدافزار خود را از راه دور مجدداً راه‌اندازی و عملاً از زیرساخت‌های همتای خود به عنوان یک سیستم پشتیبانی استفاده می‌کند. ESET در گزارشی عنوان کرد:

«این اولین باری است که ما توانسته‌ایم این دو گروه را از طریق شاخص‌های فنی به هم مرتبط کنیم.»

اگرچه روش اولیه نفوذ مشخص نیست، اما گامارِدون به خاطر اسپیرفیشینگ و استفاده از درایوهای قابل جابه‌جایی آلوده شناخته می‌شود که محققان آنها را محتمل‌ترین نقاط ورود می‌دانند.

در طول یک سال و نیم گذشته، ESET اعلام کرد که تورلا را در 7 دستگاه اوکراینی شناسایی کرده است، درحالی‌که صدها یا هزاران دستگاه توسط گامارِدون به خطر افتاده‌اند. محققان ادعا کردند:

«این نشان می‌دهد که تورلا فقط به دستگاه‌های خاص، احتمالاً آنهایی که حاوی اطلاعات بسیار حساس هستند، علاقه‌مند است.»

این اولین باری نیست که گامارِدون با یک عامل دیگر همسو با روسیه همکاری می‌کند. در سال ۲۰۲۰، محققان مدعی شدند که زیرساخت‌های آن توسط گروه «InvisiMole» استفاده می‌شود. تورلا سابقه ربودن زیرساخت‌های سایر گروه‌ها برای نفوذ به اهداف را دارد. ESET معتقد است که ظاهراً گامارِدون دسترسی اولیه به شبکه‌ها را فراهم می‌کند که تورلا سپس از آن برای نصب ایمپلنت‌های خود استفاده می‌کند.

به گفته محققان، دو واحد سرویس امنیت فدرال روسیه که معمولاً با تورلا و گامارِدون مرتبط هستند، سابقه طولانی همکاری گزارش شده‌ای دارند که می‌توان آن را به دوران جنگ سرد ردیابی کرد.

در این زمینه، شاید کاملاً تعجب‌آور نباشد که گروه‌های تهدید پایدار پیشرفته (APT) که در این دو مرکز سرویس امنیت فدرال روسیه فعالیت می‌کنند، تا حدودی با هم همکاری می‌کنند.