انتشار شده در تاریخ 1404/01/09 - 09:55

کمپین جاسوسی علیه رسانه‌های روسی با آسیب‌پذیری روزصفر گوگل

رسانه‌ها و دانشگاه‌های روسی با استفاده از آسیب‌پذیری روزصفر گوگل کروم، هدف کمپین جاسوسی قرار گرفتند.

به گزارش کارگروه بین‌الملل سایبربان؛ محققان امنیتی روسیه بدافزار جدید پیچیده‌ای را کشف کردند که در یک کمپین جاسوسی علیه رسانه‌ها و مؤسسات آموزشی در این کشور استفاده می‌شد.

کارشناسان شرکت امنیت سایبری کسپرسکی (Kaspersky) از این حملات شگفت‌زده شدند که از یک آسیب‌پذیری روز صفر در گوگل کروم (Google Chrome) سوءاستفاده می‌کردند. به گفته کارشناسان، هکرها بدون انجام هیچ کار بدیهی یا ممنوع، موفق شدند محافظ گوگل کروم را، به گونه‌ای که حتی وجود نداشته باشد، دور بزنند.

محققان در تجزیه و تحلیل خود گفتند:

«ما ده‌ها اکسپلویت روز صفر را کشف و گزارش کردیم که به طور فعال در حملات استفاده می‌شود، اما این اکسپلویت خاص قطعاً یکی از جالب‌ترین مواردی است که با آن مواجه شده‌ایم.»

کمپین جاسوسی مشکوک، موسوم به عملیات «ForumTroll»، توسط کسپرسکی در اواسط ماه مارس امسال شناسایی شد. این شرکت موجی از ایمیل‌های فیشینگ را کشف کرد که جعل هویت سازمان‌دهندگان یک انجمن علمی و تخصصی مشهور روسی بودند.

ایمیل‌ها حاوی لینک‌های مخربی بودند که برای هر هدف سفارشی‌سازی شده بودند و فقط برای مدت کوتاهی کار می‌کردند و احتمالاً مطالعه آنها را برای محققان سخت‌تر می‌کرد. در هر مورد، قربانی به محض کلیک روی پیوندی که وب‌سایت مهاجمان در گوگل کروم را باز می‌کرد، آلوده می‌شد. به گفته محققان، برای آلوده شدن نیازی به اقدام بیشتری نیست.

با توجه به پیچیدگی عملیات‌ها و ابزارهای مورد استفاده، کسپرسکی معتقد است که این حمله توسط هکرهای دولتی انجام شده، اگرچه آن را به کشور خاصی نسبت ندادند.

در طول این حمله، هکرها از یک نقص امنیتی ردیابی شده به عنوان «CVE-2025-2783» برای شکستن سیستم حفاظتی کروم، به منظور جدا نگه داشتن محتوای وب از بقیه رایانه، سوءاستفاده کردند. کسپرسکی اعلام کرد که این مشکل به دلیل یک خطای منطقی در نحوه تعامل سیستم امنیتی کروم با سیستم عامل ویندوز است که به مهاجمان اجازه می‌دهد اقدامات ایمنی کلیدی را دور بزنند.

گوگل این آسیب‌پذیری را پذیرفت و یک به‌روزرسانی امنیتی برای رفع این باگ منتشر کرد. شرکت تأیید کرد که این نقص به طور فعال مورد سوءاستفاده قرار گرفته، اما جزئیات بیشتری را برای محافظت از کاربران در زمان انتشار به‌روزرسانی در سطح جهانی به اشتراک نگذاشت.

کسپرسکی گفت که اکسپلویت کشف‌شده احتمالاً در کنار آسیب‌پذیری دیگری که استفاده شده که اجرای کد از راه دور را امکان‌پذیر می‌کند.

در حال حاضر، لینک‌های مخرب مورداستفاده در حمله دیگر حاوی اکسپلویت‌های فعال نیستند و در عوض کاربران را به وب‌سایت انجمن علمی قانونی هدایت می‌کنند. با این حال، کارشناسان امنیت سایبری توصیه کردند که در مورد کلیک کردن روی ایمیل‌های مشکوک احتیاط کنید، زیرا مهاجمان می‌توانند کمپین را با سوءاستفاده‌های جدید دوباره مسلح کنند.

اوایل ماه اوت گذشته، کسپرسکی یک نرم‌افزار جاسوسی که قبلاً دیده نشده بود، کشف کرد که کاربران اندروید را در روسیه هدف قرار می‌دهد. این بدافزار که «LianSpy» نام دارد، خود را به عنوان خدمات مالی و سایر برنامه‌های کاربردی سیستمی مانند اپلیکیشن پرداخت دیجیتال «Alipay» پنهان می‌کند.

کسپرسکی اظهار داشت که آنها توانستند 10 هدف نرم‌افزارهای جاسوسی را در روسیه شناسایی کنند، اما از افشای قربانیان آن خودداری کردند.

ماه ژوئن گذشته، کسپرسکی یک کمپین جاسوسی دیگر به نام عملیات مثلث‌سازی (Triangulation) را کشف کرد که از 2 آسیب‌پذیری در دستگاه‌های اَپل سوءاستفاده می‌کرد. این کمپین از سال 2019 فعال بوده و با ارسال «iMessages» با پیوست‌های مخرب به اهداف خود حمله می‌کند.

دولت روسیه، ایالات متحده را مسئول این کمپین معرفی کرد و گفت که هزاران گوشی اَپل را برای جاسوسی از دیپلمات‌های روسی هک کرده است. اَپل این گفته‌ها را رد کرد.