حمله سایبری هکرهای روسی به سفارت های اروپا و ایران

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در یک کمپین جاسوسی، هکرهایی که با نام تگ-70 (TAG-70) ردیابی شده‌اند، از یک آسیب‌پذیری اسکریپت بین سایتی (XSS) در سرور ایمیل مبتنی بر وب راند کیوب (Roundcube) استفاده کرده اند.

در طول حملات اسکریپت بین سایتی، اسکریپت‌های مخرب توسط هکرها به وب‌سایت‌های هدف تزریق می‌شوند.

به گفته محققان گروه اینسیکت (Insikt) در کنفرانس امنیتی مونیخ که حملات را تجزیه و تحلیل کرده اند، هدف از آخرین کمپین این گروه جمع آوری اطلاعات در مورد فعالیت های سیاسی و نظامی اروپا، "احتمالاً برای به دست آوردن مزیت های استراتژیک یا تضعیف امنیت و اتحاد اروپا" بوده است.

در اوایل ماه فوریه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) باگ راند کیوب را با نام CVE-2023-43770 به فهرست آسیب‌پذیری‌های شناخته شده خود اضافه کرده بود.

این آژانس بیان کرد:

این نوع آسیب‌پذیری‌ها امکان حمله مکرر را برای عوامل مخرب سایبری فراهم می کنند و خطرات قابل‌توجهی برای شرکت های فدرال ایجاد می‌کنند.

بر اساس گزارش گروه اینسیکت، هکرها که با گروه وینتر ویورن (Winter Vivern) همپوشانی دارند، احتمالاً از ابتدای اکتبر 2023 شروع به سوء استفاده از سرورهای وب میل راند کیوب کرده اند و حداقل تا اواسط اکتبر به این کار ادامه داده اند.

گروه وینتر ویورن، حداقل از دسامبر 2020 فعال بوده و احتمالاً کمپین های جاسوسی سایبری را برای خدمت به منافع بلاروس و روسیه انجام می دهد.

محققان می‌گویند این گروه از تکنیک‌ها و ابزارهای پیشرفته استفاده می‌کند، که نشان می‌دهد یک عامل تهدید دارای بودجه و ماهر است که سطح بالایی از پیچیدگی را در روش‌های حمله خود نشان داده است.

قربانیان این گروه، بیشتر در گرجستان، لهستان و اوکراین بوده اند.

بر اساس این گزارش، هدف قرار دادن سفارت‌های ایران در روسیه و هلند ممکن است با تمایل به ارزیابی فعالیت‌های دیپلماتیک کنونی و سیاست خارجی ایران، به ویژه در شرایطی که روسیه همچنان به تسلیحات ارائه‌شده توسط ایران در اوکراین تکیه می‌کند، مرتبط باشد.

به گفته محققان، حمله وینتر ویورن به سرورهای ایمیل راند کیوب، جدیدترین نمونه از هدف قرار دادن نرم افزار ایمیل منتسب به عوامل تهدید همسو با روسیه است.

ژوئن گذشته، محققان اینسیکت کشف کردند که گروه جاسوسی سایبری دولتی روسیه به نام بلو دلتا (BlueDelta)، که با گروه هکری فنسی بر (Fancy Bear) همپوشانی دارد، تأسیسات آسیب‌پذیر راند کیوب را در سراسر اوکراین هدف قرار می‌دهد و قبلاً از یک آسیب‌پذیری مهم روز صفر در مایکروسافت اوت لوک (Microsoft Outlook) سوء استفاده کرده است.

سایر هکرهای دولتی روسیه مانند سند وورم (Sandworm) و میدنایت بلیزارد (Midnight Blizzard) نیز خدمات ایمیل را در کمپین های مختلف هدف قرار داده اند.

به گفته محققان، وینتر ویورن تهدیدی مهم علیه اوکراین است، زیرا سرورهای ایمیل در معرض خطر ممکن است اطلاعات حساس مربوط به اقدامات و برنامه‌ریزی جنگ اوکراین، روابط این کشور و مذاکرات با کشورهای شریک را در معرض نمایش بگذارند.

در فوریه گذشته، این گروه رایانه‌های دولتی اوکراین را با بدافزارهای میزبانی شده در وب‌سایت‌های جعلی که به جعل خدمات دولتی مشغول بودند را آلوده کرد.

در طول کمپین در ماه مارس، گروه وینتر ویورن آژانس‌های دولتی و اپراتورهای مخابراتی در اوکراین، هند و اروپا را هدف قرار داده بود.

آژانس امنیت سایبری اوکراین تاکنون درباره اهداف هک راند کیوب در اوکراین نظری نداده است.