محققان امنیت سایبری هشدار دادهاند که یک گروه از هکرهای مرتبط با روسیه، از یک بدافزار جدید برای اجرای حملات سایبری خود استفاده میکند.
به گزارش گرداب - یک گروه از هکرهای مرتبط با روسیه که ادعا میشود به حمله سایبری سولارویندز (SolarWinds) مرتبط هستند، بدافزار جدیدی را ساختهاند که طبق ادعای آمریکاییها هدف آن، کسبوکارها و دولتهای آمریکای شمالی و اروپاست.
این بدافزار، شبکهها را دستکاری میکند، اطلاعات را میدزدد و زمینه را برای انجام حملات آینده آماده میسازد.
این حملات همچنین شامل دستکاری چندین ارائه دهنده خدمات ابری و مدیریت شده میشود که هکرها امکان دسترسی به مشتریان آنها را پیدا میکنند. یک گروه از محققان امنیت سایبری این کمپین گسترده را به دو گروه هکری مرتبط کردهاند که از آنها به عنوان UNC۳۰۰۴ و UNC۲۶۵۲ یاد میشود.
محققان این گروهها را با UNC۲۴۵۲ مرتبط میدانند که در گزارشهای مایکروسافت با نام نوبلیوم (Nobelium) شناخته میشود و یک گروه از هکرهاست که طرف آمریکایی ادعا میکند از طرف سرویس اطلاعات خارجی روسیه فعالیت میکند و عامل حمله سایبری به سولار ویندز است.
با این که هر یک از این گروهها خارج از روسیه فعالیت میکنند و به نظر میرسد که اهداف مشابهی دارند، اما محققان نمیتوانند بطور قطعی بگویند که همه آنها بخشی از یک واحد هستند. کمپین هک جدید از یک دانلودکننده بدافزارسفارشی استفاده میکند که محققان آن را Ceeloader نامیدهاند.
این بدافزار به زبان برنامهنویسی C نوشته شده است و پیلود شِل کدها را رمزگشایی میکند تا در حافظه دستگاه ویندوز قربانی اجرا شود و امکان توزیع بدافزارهای بیشتر فراهم گردد. با نرمافزار آنتی ویروس نمیتوان Ceeloader را شناسایی کرد، زیرا این بدافزار در بین تعداد زیادی از کدهای بلااستفاده (junk codes) پنهان میشود.
روشهای دیگری که هکرها استفاده میکنند شامل سوءاستفاده از ابزار تست نفوذ Cobalt Strike برای قرار دادن یک درب پشتی در سیستم آسیب دیده است که میتواند برای اجرای دستورات و انتقال فایلها و همچنین ارائه یک کیلاگر (Keylogger) که بتواند نامهای کاربری و رمزعبورها را سرقت کند، استفاده شود.
علاوه بر استقرار بدافزار، هکرها به خدمات ابری اهداف حمله خود نیز دسترسی دارند. مانند سایر کمپینهای هک مرتبط با روسیه، این حملات نیز اعتبار ورود به سیستم پروتکل دسکتاپ از راه دور (RDP) را هدف قرار میدهند.
حوادثی مانند حمله به زنجیره تأمین سولار ویندز که دولت روسیه در آن دست داشته است و حمله به زنجیره تأمین Kaseya و حمله باجافزار نشان دادهاند که چقدر بدافزار میتواند قدرتمند باشد و به همین دلیل است که ارائهدهندگان سرویس ابری همچنان یک هدف بزرگ برای حملات سایبری هستند.
انتظار میرود که هکرهای مرتبط با روسیه و دیگر گروههای سایبری تهاجمی، همچنان به سازمانها، زنجیرههای تأمین و ارائهدهندگان خدمات ابری در سراسر جهان حمله کنند.
منبع:
ZDNet
