هشدار شرکت‌های روسی درمورد سرقت اطلاعات

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت‌های امنیت سایبری روسی گزارش‌های تحقیقاتی متعددی درباره تهدیدات خاص منتشر کردند، از جمله یک کمپین سرقت اطلاعات در مقیاس بزرگ که سازمان‌های محلی را با بدافزار نووا (Nova) هدف قرار می‌دهد.

براساس گزارش شرکت امنیت سایبری «BI.ZONE» مستقر در مسکو، این بدافزار یک سارق تجاری است که در بازارهای وب تاریک توسط مجرمان سایبری ناشناس به عنوان یک سرویس فروخته می‌شود. قیمت این بدافزار از 50 دلار برای مجوز ماهانه شروع می‌شود و تا 630 دلار برای مجوز مادام‌العمر افزایش می‌یابد.

طبق گزارش‌های قبلی، Nova یکی از دزدان محبوب و یکی از رایج‌ترین بدافزارها در میان مجرمان سایبری است.

گزارش BI.ZONE در حالی منتشر شد که نهادهای روسی در ماه‌های اخیر هدف کمپین‌های هکری متعددی قرار گرفته‌اند که بسیاری از آنها تصور می‌شود انگیزه‌های سیاسی داشته‌اند و توسط هکرهای دولتی سازماندهی شده‌اند. کارشناسان معتقدند که جنگ مداوم با اوکراین و تحریم‌های گسترده علیه مسکو باعث شده تا اکثر شرکت‌های امنیت سایبری غربی از بازار روسیه خارج شوند و شکاف‌های قابل توجهی در چشم‌انداز تهدیدات سایبری این کشور باقی بماند.

در نتیجه، گزارش‌های حملات علیه سازمان‌های روسی عمدتاً از شرکت‌های فناوری محلی سرچشمه می‌گیرد که اغلب فاقد تأیید مستقل و تجزیه و تحلیل دقیق است و معمولاً توسط محققان امنیت سایبری بین‌المللی ارائه می‌شود.

محققان شرکت امنیت سایبری روسی «F.A.C.C.T.» نسبت به یک کمپین جدید جاسوسی سایبری علیه شرکت‌های شیمیایی، غذایی و دارویی محلی هشدار داد. آنها این حملات را به یک گروه هکری دولتی نسبت دادند که با نام «Rezet» یا «Rare Wolf»ردیابی می‌شود و از سال 2018 تقریباً 500 حمله سایبری به سازمان‌های روسی، بلاروسی و اوکراینی انجام داده است.

حمله دیگری روی تأسیسات صنعتی روسیه چند روز قبل توسط شرکت امنیت سایبری محلی سولار (Solar) گزارش شده بود. به گفته محققان، هکرهای دولتی جدید شناسایی شده با نام «APT NGC4020» از یک آسیب‌پذیری در یک ابزار اشتراک‌گذاری کنترل از راه دور و دسکتاپ توسعه یافته توسط شرکت آمریکایی سولارویندز (SolarWinds) سوءاستفاده کرده‌اند.

سازمان‌های بزرگ روسی که در ماه‌های اخیر هک شده‌اند شامل ارائه‌دهنده مخابرات «Rostelecom»، پلتفرم اصلی تجارت الکترونیکی روسی «Roseltorg» و «Rosreestr»، آژانس دولتی مسئول مدیریت اسناد املاک و زمین، هستند.

بدافزار نووا، تشنه داده

BI.ZONE گفت که بدافزار نووا مانند «SnakeLogger»، داده‌های احراز هویت ذخیره شده قربانیان را جمع‌آوری و ضربه‌های کلید را ضبط می‌کند، از صفحه‌نمایش عکس می‌گیرد و داده‌ها را از کلیپ بورد استخراج می‌کند. به گفته محققان روسی، داده‌های به دست آمده در این حملات می‌تواند برای اهداف مخرب مختلف از جمله حملات هدفمند باج‌افزاری استفاده شود.

هکرها برای دسترسی اولیه به دستگاه‌های قربانیان، ایمیل‌های فیشینگ را با فایل‌های مخرب ارسال می‌کنند که به صورت آرشیو فشرده حاوی قراردادها پنهان شده‌اند.

طبق این گزارش، هکرها از نام فایل‌های محبوب برای آرشیو بدافزار استفاده و به طور خاص کارکنان سازمان‌هایی را که حجم زیادی از ایمیل‌ها را مدیریت می‌کنند، هدف قرار می‌دهند و احتمال حمله موفقیت‌آمیز را افزایش می‌دهند.

توسعه دهندگان این ابزار شناسایی نشده‌اند، اما محققان خاطرنشان کردند که کد بدافزار حاوی رشته‌هایی به زبان لهستانی است. یک گروه تلگرامی اختصاص داده شده به تبلیغ، فروش و ارائه پشتیبانی فنی این سارق در ماه اوت سال 2024 ایجاد شد.

هنوز مشخص نیست که چه تعداد قربانی در روسیه تحت تأثیر بدافزار Nova قرار گرفته‌اند و هدف نهایی مهاجمان چیست.