بر اساس یک گزارش جدید، یک گروه هکری مرتبط با روسیه از یک باگ شناخته شده در یک سرور وب میل محبوب برای جاسوسی از سازمانهای دولتی و نظامی در اروپا و همچنین سفارتخانههای ایران در روسیه سوءاستفاده کرده است.
به گزارش گرداب، در یک کمپین جاسوسی، هکرهایی که با نام تگ-۷۰ (TAG-۷۰) ردیابی شدهاند، از یک آسیبپذیری اسکریپت بین سایتی (XSS) در سرور ایمیل مبتنی بر وب راند کیوب (Roundcube) استفاده کرده اند.
در طول حملات اسکریپت بین سایتی، اسکریپتهای مخرب توسط هکرها به وبسایتهای هدف تزریق میشوند.
به گفته محققان گروه اینسیکت (Insikt) در کنفرانس امنیتی مونیخ که حملات را تجزیه و تحلیل کرده اند، هدف از آخرین کمپین این گروه جمع آوری اطلاعات در مورد فعالیتهای سیاسی و نظامی اروپا، "احتمالاً برای به دست آوردن مزیتهای استراتژیک یا تضعیف امنیت و اتحاد اروپا" بوده است.
در اوایل ماه فوریه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) باگ راند کیوب را با نام CVE-۲۰۲۳-۴۳۷۷۰ به فهرست آسیبپذیریهای شناخته شده خود اضافه کرده بود.
این آژانس بیان کرد:
این نوع آسیبپذیریها امکان حمله مکرر را برای عوامل مخرب سایبری فراهم میکنند و خطرات قابلتوجهی برای شرکتهای فدرال ایجاد میکنند.
بر اساس گزارش گروه اینسیکت، هکرها که با گروه وینتر ویورن (Winter Vivern) همپوشانی دارند، احتمالاً از ابتدای اکتبر ۲۰۲۳ شروع به سوء استفاده از سرورهای وب میل راند کیوب کرده اند و حداقل تا اواسط اکتبر به این کار ادامه داده اند.
گروه وینتر ویورن، حداقل از دسامبر ۲۰۲۰ فعال بوده و احتمالاً کمپینهای جاسوسی سایبری را برای خدمت به منافع بلاروس و روسیه انجام میدهد.
محققان میگویند این گروه از تکنیکها و ابزارهای پیشرفته استفاده میکند، که نشان میدهد یک عامل تهدید دارای بودجه و ماهر است که سطح بالایی از پیچیدگی را در روشهای حمله خود نشان داده است.
قربانیان این گروه، بیشتر در گرجستان، لهستان و اوکراین بوده اند.
این گزارش ادعا کرده است که هدف قرار دادن سفارتخانههای ایران در روسیه و هلند ممکن است برای ارزیابی فعالیتهای کنونی ایران در عرصه دیپلماتیک به ویژه در رابطه با جنگ اوکراین و فروش ادعایی سلاح از سوی ایران به روسیه باشد.
به گفته محققان، حمله وینتر ویورن به سرورهای ایمیل راند کیوب، جدیدترین نمونه از هدف قرار دادن نرم افزار ایمیل منتسب به عوامل تهدید همسو با روسیه است.
ژوئن گذشته، محققان اینسیکت کشف کردند که گروه جاسوسی سایبری دولتی روسیه به نام بلو دلتا (BlueDelta)، که با گروه هکری فنسی بر (Fancy Bear) همپوشانی دارد، تأسیسات آسیبپذیر راند کیوب را در سراسر اوکراین هدف قرار میدهد و قبلاً از یک آسیبپذیری مهم روز صفر در مایکروسافت اوت لوک (Microsoft Outlook) سوء استفاده کرده است.
سایر هکرهای دولتی روسیه مانند سند وورم (Sandworm) و میدنایت بلیزارد (Midnight Blizzard) نیز خدمات ایمیل را در کمپینهای مختلف هدف قرار داده اند.
به گفته محققان، وینتر ویورن تهدیدی مهم علیه اوکراین است، زیرا سرورهای ایمیل در معرض خطر ممکن است اطلاعات حساس مربوط به اقدامات و برنامهریزی جنگ اوکراین، روابط این کشور و مذاکرات با کشورهای شریک را در معرض نمایش بگذارند.
در فوریه گذشته، این گروه رایانههای دولتی اوکراین را با بدافزارهای میزبانی شده در وبسایتهای جعلی که به جعل خدمات دولتی مشغول بودند را آلوده کرد.
در طول کمپین در ماه مارس، گروه وینتر ویورن آژانسهای دولتی و اپراتورهای مخابراتی در اوکراین، هند و اروپا را هدف قرار داده بود.
آژانس امنیت سایبری اوکراین تاکنون درباره اهداف هک راند کیوب در اوکراین نظری نداده است.
منبع: سایبربان