به گزارش کارگروه حملات سایبری سایبربان؛ اوکراین حداقل 3 حمله سایبری در ماه مارس امسال ثبت کرد که سازمانهای دولتی و زیرساختهای حیاتی را با بدافزار جدید جاسوسی هدف قرار دادند.
براساس گزارش تیم واکنش اضطراری رایانهای اوکراین (CERT-UA)، این حملات با استفاده از بدافزار ناشناخته قبلی به نام «Wrecksteel»، انجام شد که از طریق ایمیلهای فیشینگ مستقر شده بود.
هکرها از حسابهای در معرض خطر برای ارسال پیامهای حاوی پیوندهایی به سرویسهای اشتراکگذاری فایل عمومی مانند «DropMeFiles» و گوگل درایو (Google Drive) استفاده کردند. پس از باز شدن، پیوندها یک اسکریپت پاورشِل (PowerShell) را اجرا کردند و مهاجمان توانستند اسناد متنی، پیدیاف، تصاویر و ارائهها را استخراج کنند و از دستگاههای آلوده اسکرین شات بگیرند.
تیم واکنش اضطراری رایانهای اوکراین که گروه هکری را «UAC-0219» نامگذاری کرد، مدعی شد که کمپین جاسوسی سایبری حداقل از پاییز سال 2024 فعال بوده است.
در یک حادثه، مهاجمان ایمیلهای فیشینگ ارسال و خود را یک آژانس دولتی اوکراین معرفی کردند که قصد کاهش حقوق دارد. این ایمیل حاوی یک پیوند مخرب بود که ظاهراً به لیستی از کارمندان آسیب دیده منتهی میشد.
اگرچه تیم واکنش اضطراری رایانهای اوکراین این حملات را به کشور خاصی نسبت نداد، اما ادعا کرد که اکثر کمپینهای جاسوسی مبتنی بر فیشینگ علیه نهادهای دولتی اوکراین از روسیه سرچشمه میگیرند.
چندی پیش، محققان شرکت امنیت سایبری سیسکو تالوس (Cisco Talos) گزارش دادند که یک گروه هکری دولتی روسیه، موسوم به گاماردون (Gamaredon)، با استفاده از فایلهای مخربی که به تحرکات سربازان در اوکراین اشاره میکنند، یک کمپین جاسوسی انجام داده است. این کمپین به سرویسهای اطلاعاتی روسیه نسبت داده شد.
«Ukrzaliznytsia»، اپراتور دولتی راهآهن اوکراین، هفته گذشته متحمل یک حمله سایبری بزرگ شد که سیستمهای آنلاین آن را مختل کرد. مقامات سایبری اوکراین مدعی شدند که هکرها بدافزار سفارشی ساخته شده را که به طور خاص برای زیرساختهای راهآهن طراحی شده، مستقر کردهاند که نشان می دهد این عملیات به منابع و برنامهریزی قابل توجهی نیاز دارد.
با توجه به شباهتهای بین تاکتیکهای مورد استفاده در عملیات علیه Ukrzaliznytsia و فعالیتهای سایبری قبلی مرتبط با روسیه، اوکراین ادعا کرد که روسیه پشت این کمپین بوده، اما این حمله را به یک گروه هکری خاص نسبت نداد.
