حمله جاسوسی هکرهای روسی ورمین به ارتش اوکراین

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش ها، این گروه توسط پلیس لوهانسک (LPR)، یک شبه ایالت ناشناخته واقع در شرق اوکراین که در سال 2022 به روسیه ضمیمه شد، کنترل می شود.

گمان می رود این هکرها به نمایندگی از کرملین عمل می کنند.

این گروه در آخرین کمپین خود که توسط تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) تجزیه و تحلیل شد، ارتش اوکراین را با هدف سرقت اطلاعات حساس از دستگاه ها هدف قرار داد.

برای انجام این عملیات، ورمین (Vermin) از یک بدافزار شناخته شده قبلی به نام اسپکتر (Spectr) و نرم افزار همگام سازی قانونی فایل به نام سینکتینگ (SyncThing) استفاده کرده است.

هکرها ابزارها را از طریق ایمیل های فیشینگ حاوی آرشیوهای مخرب محافظت شده توسط رمز عبور به رایانه های قربانیان ارسال کرده اند.

اسپکتر یک بدافزار منعطف و سازگار است که می‌تواند هر 10 ثانیه از صفحه قربانی عکس بگیرد، فایل‌هایی با پسوندهای خاص را کپی کند و داده‌های احراز هویت را از پیام‌رسان‌ها از جمله تلگرام، سیگنال و اسکایپ بدزدد.

همچنین می‌تواند اطلاعات مرورگرهای اینترنتی مانند فایرفاکس، اج و کروم، از جمله احراز هویت و داده‌های جلسه، و همچنین سابقه مرورگر را به سرقت ببرد.

در مارس 2022، تیم واکنش اضطراری رایانه ای اوکراین هشدار داد که ورمین از اسپکتر برای هدف قرار دادن زیرساخت های دولت اوکراین استفاده کرده است.

به گفته محققان، از سینکتینگ در کمپین جدید برای استخراج اسناد، فایل‌ها، گذرواژه‌ها و سایر اطلاعات سرقت شده از رایانه‌های قربانیان به سرورهای ورمین استفاده شده است.

هکرها اغلب از ابزارهای قانونی در طول حملات خود استفاده می کنند تا از شناسایی جلوگیری کنند.

اوایل این هفته، شرکت امنیت سایبری سایبل (Cyble) گزارش داده بود که وزارت دفاع اوکراین و یک پایگاه نظامی توسط هکرهای تحت حمایت دولت بلاروس موسوم به گوست رایتر (Ghostwriter) مورد حمله قرار گرفته اند.

روز سه‌شنبه، تیم واکنش اضطراری رایانه ای اوکراین در مورد حملات سایبری علیه پرسنل ارتش اوکراین و سرویس‌های دفاعی با استفاده از بدافزار دارک کریستال (DarkCrystal) هشدار داد که می‌تواند به مهاجمان امکان دسترسی از راه دور به دستگاه قربانی را بدهد.