به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس پژوهش جدید یک شرکت امنیت سایبری، یک گروه نسبتاً ناشناخته جاسوسی سایبری کارزاری تازه را علیه نیروهای نظامی و سازمانهای مرتبط با صنایع دفاعی روسیه آغاز کرده است.
این عملیات اوایل ماه اکتبر شناسایی شد؛ زمانی که پژوهشگران شرکت آمریکایی «اینتزر» یک فایل مخرب XLL را در پایگاه ویروس توتال (VirusTotal) کشف کردند که ابتدا از اوکراین و سپس از روسیه بارگذاری شده بود.
این فایل که «اهداف برنامهریزیشده دشمن» نام داشت، بهگونهای طراحی شده بود که با باز شدن در نرمافزار اکسل، بهطور خودکار کد مخرب را اجرا کند.
پس از اجرا، فایل یک درِ پشتی ناشناخته با نام اکوگدر (EchoGather) را دانلود میکرد که به مهاجمان امکان جمعآوری اطلاعات سامانه، اجرای دستورات و انتقال فایلها را میداد.
دادههای سرقتشده به سروری هدایت میشد که در ظاهر شبیه وبسایت سفارش غذای آنلاین بود.
برای فریب قربانیان، هکرها از ایمیلها و اسناد فیشینگ به زبان روسی استفاده کردند.
یکی از این طعمهها دعوتنامهای جعلی برای شرکت در کنسرتی ویژه افسران ارشد نظامی بود که به گفته اینتزر، نشانههای واضحی از تولید مصنوعی داشت؛ از جمله خطاهای زبانی و تصویری مخدوش از نشان عقاب دوسر روسیه.
در نمونهای دیگر، مهاجمان خود را بهجای یکی از معاونان وزارت صنعت و تجارت روسیه جا زده و درخواست اسناد توجیه قیمت در قراردادهای دفاعی دولتی کرده بودند؛ نامهای که ظاهراً شرکتهای بزرگ دفاعی و فناوری پیشرفته را هدف میگرفت.
موفقیت این حملات و نوع دقیق اطلاعات مورد نظر مهاجمان مشخص نیست.
پژوهشگران میگویند این گروه که با نامهای «گافی» یا «گرگینه کاغذی» نیز شناخته میشود، از سال ۲۰۲۲ فعال بوده و احتمالاً گرایش طرفدار اوکراین دارد، هرچند منشأ آن بهطور قطعی تأیید نشده است.
گزارشهای پیشین نشان میدهد این گروه از بدافزارهای سفارشی، آسیبپذیریهای روز صفر و اختلال محدود در شبکههای آلوده برای پیشبرد اهداف جاسوسی خود استفاده کرده است.
