انتشار شده در تاریخ 1404/01/23 - 11:51

متهم شدن روسیه به حمله بدافزاری علیه مأموریت نظامی اوکراین

کارشناسان اعلام کردند که درایو آلوده، منبع حمله بدافزاری علیه مأموریت نظامی غربی در اوکراین باشد.

به گزارش کارگروه حملات سایبری سایبربان؛ به گفته محققان، گروه تهدید دولتی روسی موسوم به گاماردون (Gamaredon)، که معمولاً به انتشار بدافزار از طریق ایمیل‌های فیشینگ معروف است، اخیراً از یک درایو قابل جابه‌جایی آلوده برای هدف قرار دادن یک مأموریت نظامی اوکراینی در یک کشور غربی ناشناس استفاده کرده است.

محققان شرکت امنیت سایبری آمریکایی سیمنتک (Symantec) با تجزیه و تحلیل آخرین حملات اعلام کردند که این بدافزار نسخه به‌روز شده «GammaSteel» بود که برای سرقت داده‌ها استفاده می شود. در این گزارش آمده است که این کمپین در ماه های فوریه و مارس فعال بوده است. محققان درایو قابل جابجایی را توصیف نکردند.

کارشناسان معتقدند که گاماردون از تاکتیک‌های جدیدی برای پنهان کردن فعالیت خود از محققان و قربانیان استفاده کرده است. سیمنتک گفت که GammaSteel از طریق یک زنجیره حمله پیچیده و چند مرحله‌ای مستقر شده است.

گاماردون، که با نام‌های «Shuckworm» و «BlueAlpha» نیز شناخته می‌شود، حداقل از سال 2013 فعال بوده و گمان می‌رود از شبه جزیره کریمه ضمیمه روسیه تحت کنترل سرویس امنیت فدرال روسیه (FSB) فعالیت می‌کند. به گفته محققان، از آغاز جنگ روسیه و اوکراین، این گروه به طور مداوم کی‌یف را هدف قرار داده است. تنها در سال 2023، این کشور 277 حادثه سایبری منتسب به این گروه را شناسایی کرده است.

درحالی‌که کارشناسان براین باورند که گاماردون عمدتاً عملیات‌های جاسوسی سایبری را علیه سرویس‌های امنیتی و دفاعی اوکراین انجام می‌دهد، اما با حداقل یک حمله سایبری مخرب علیه یک تأسیسات زیرساخت اطلاعاتی نامشخص مرتبط است.

سیمنتک سازمان مورد نظر، اثرات کمپین GammaSteel یا ماهیت داده‌هایی را که هکرها سعی در سرقت آن‌ها داشتند، فاش نکرد.

به نظر می‌رسد که رویداد اخیر نشان‌دهنده افزایش پیچیدگی گاماردون است، که عموماً نسبت به دیگر عوامل تهدید روسیه، با مهارت کمتری در نظر گرفته شده است؛ این گروه به طور مداوم کد خود را تغییر می‌دهد، لایه‌هایی مبهم را اضافه و از خدمات وب قانونی استفاده می‌کند.

محققان سیمنتک ادعا کردند:

«این گروه هکری همچنان بر هدف قرار دادن نهادهای داخل اوکراین برای اهداف جاسوسی متمرکز است.»

اوایل ماه مارس امسال، محققان شرکت امنیت سایبری سیسکو تالوس (Cisco Talos) از عملیات در حال انجام گاماردون با هدف نصب یک ابزار نظارتی بر رایانه‌های اوکراینی خبر دادند. به عنوان بخشی از این کمپین، گاماردون از ایمیل‌های فیشینگ حاوی فایل‌های مخرب مربوط به تحرکات سربازان در اوکراین برای آلوده کردن قربانیان استفاده کرد.

به گفته محققان، در ماه دسامبر گذشته این گروه با استفاده از تونل‌های «Cloudflare»، ابزاری که به پنهان کردن مکان واقعی سرورها یا زیرساخت‌ها کمک می‌کند، برای آلوده کردن اهداف با بدافزار سفارشی «GammaDrop» و ناشناخته ماندن مشاهده شد.

اوایل سال گذشته، 2 هکر وابسته به سرویس امنیت فدرال روسیه به دلیل انجام حملات سایبری علیه نهادهای دولتی به طور غیابی به 15 سال زندان در اوکراین محکوم شدند. ظاهراً این 2 نفر به گاماردون متصل هستند.