حملات سایبری به اوکراین: DDoS، Data wiper جدید، وب سایت های کلون شده و Cyclops Blink

حملات سایبری به اوکراین: DDoS، Data wiper جدید، وب سایت های کلون شده و Cyclops Blink

حملات سایبری به اوکراین: DDoS، Data wiper جدید، وب سایت های کلون شده و Cyclops Blink

روسیه تهاجم خود به اوکراین را آغاز کرده و همانطور که پیش بینی می شد، حملات در دنیای فیزیکی با حملات سایبری همراه بوده است:

حملات DDoS علیه وب سایت های سازمان های دولتی اوکراین و بانک­ها راه اندازی شده است.

بدافزار جدید Data wiper در رایانه های اوکراینی و همچنین دستگاه هایی در لتونی و لیتوانی کشف شده است.

محققان سرویس وبی را شناسایی کرده اند که میزبان نسخه های شبیه سازی شده تعدادی از وب سایت های دولتی اوکراین و صفحه اصلی دفتر رئیس جمهور اوکراین است که با بدافزار به دام افتاده است.

همچنین، مرکز ملی امنیت سایبری بریتانیا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) جزئیاتی را درباره بدافزار جدید که دستگاه های شبکه را هدف قرار می دهد منتشر کرده اند که آن ها را به یک عامل تهدید به نامSandworm معروف به BlackEnergy که آن آژانس ها قبلا آن را به مرکز اصلی GRU روسیه برای فناوری های ویژه GTsSt نسبت داده اند.

حملات DDoS

آخرین دور حملات DDoS از بعد از ظهر چهارشنبه آغاز شد. و همانند قبل، اهداف، وب سایت های چندین بانک و سازمان دولتی اوکراین از جمله سایت های وزارت دفاع اوکراین، وزارت امور خارجه، پارلمان اوکراین و سرویس امنیتی اوکراین بودند.

همه به جز آخرین مورد در حال حاضر در دسترس هستند. ترافیک هدایت شده به وب سایت وزارت دفاع اوکراین ابتدا از فیلترهای CloudFlare عبور می کند. دسترسی به وبسایت Privatebank نیز توسط مجموعه ای با هدف خنثی کردن ربات ها تعدیل می شود.

یک Datawiper جدید: HermeticWiper

روز چهارشنبه، محققان ESET یک بدافزار جدید Datawiper را کشف کردند که در اوکراین استفاده می شود. این شرکت به اشتراک گذاشته است که تلمتری ESET نشان می دهد روی صدها دستگاه در کشور نصب شده است.

این بدافزار که HermeticWiper نام دارد، توسط محققان سیمانتک نیز شناسایی شده است. به گفته ESET، Wiper binary با یک گواهی امضای کد قانونی امضا شده است (احتمالا به خطر افتاده است)، از درایورهای قانونی نرم افزار EaseUS Partition Master برای خراب کردن داده ها سو استفاده می­کند و در نهایت کامپیوتر مورد نظر را ریبوت می­کند.

این شرکت همچنین افزود: در یکی از سازمان های هدف، wiper از طریق GPO پیش فرض (domain Policy) حذف شد، این به این معنی است که مهاجمان احتمالا کنترل سرور Active Directory را به دست گرفته­اند.

کپی های کلون شده از وب سایت های دولت اوکراین

Snorre Fagerland، محقق مستقل تهدیدات، The Insider و Bellingcat سرویس وب را کشف کردند که در حملات سایبری گذشته مرتبط با منافع دولت روسیه نقش داشته است و دریافتند که روی آن نسخه های شبیه سازی شده تعدادی از وب سایت های دولتی اوکراین میزبانی شده است.

Belgingcat گفت: این وب سایت های شبیه سازی شده زودتر از نوامبر 2021 ایجاد شده اند، یعنی زمانی که آخرین دور تشدید تنش های روسیه علیه اوکراین آغاز شد.

به ویژه نسخه شبیه سازی شده سایت رئیس جمهور اوکراین به گونه ای اصلاح شده است که حاوی یک کمپین قابل کلیک حمایت از رئیس جمهور است که پس از کلیک کردن، بسته ای از بدافزار را در رایانه کاربر دانلود می کند. اینکه چگونه از این وب سایت های شبیه سازی شده استفاده می شود، قابل تشخیص نمی باشد اما محققان صفحات ورود کپی شده ای را پیدا کرده اند که به فیشینگ اشاره دارد.

آنها همچنین در مورد اهداف نهایی بدافزار، مانند به خطر انداختن ماشین های ده ها یا صدها هزار اوکراینی و استفاده از آنها برای حملات DDoS و سرقت اعتبار برای حساب های رسانه های اجتماعی، برای استفاده آینده در کمپین های اطلاعات نادرست آنلاین، اندیشیده اند.

محققان Bellingcat خاطرنشان کردند: هیچ مدرکی مبنی بر استفاده از زیرساخت و بدافزار پشت این وب سرویس وجود ندارد و یا با حملات سایبری امروزی که توسط موسسات دولتی اوکراینی تجربه شده است، مرتبط بوده است.

آنها همچنین افزودند که در دوماه گذشته، همان عاملان تهدید، بدافزار را در بیش از 35 فایل فشرده مختلف از طریق لینک های discord ارسال می کردند که هدف آنها، اهداف با ارزش اوکراین در وزارتخانه های مختلف و آژانس هسته ای این کشور بود.

بدافزار Cyclops Blink جایگزین VPNFilter می شود

NCSC و CISA جزئیاتی را درباره Cyclops منتشر کرده اند، یک بدافزار جدید که دستگاه های شبکه را هدف قرار می دهد و ظاهرا توسط عامل تهدید Sandworm استفاده می شود.

NCSC گفت: به نظر می رسد Cyclops Blink یک چارچوب جایگزین برای بدافزار VPNFilter است که در سال 2018 در معرض دید قرار گرفت، که از دستگاه های شبکه، عمدتا روترهای کوچک (SOHO) و دستگاه های ذخیره سازی متصل به شبکه (NAS) سوء استفاده می کرد. این عامل تاکنون عمدتا Cyclops Blink را در دستگاه های WatchGaurd (فایروال) مستقر کرده است، اما این احتمال وجود دارد که sandworm بتواند این بدافزار را برای معماری ها و firmwareهای دیگر کامپایل کند.

این بدافزار اطلاعات دستگاه را جمع آوری کرده و آنها را به سرور فرماندهی و کنترل می فرستد و می تواند فایل ها را دانلود و اجرا کند و همچنین ماژول های اضافی را در تاریخ بعدی دریافت کند.

جالب ترین چیز در مورد این بدافزار مکانیزم پایداری آن و فرآیند به روز رسانی سیستم قانونی دستگاه ها است:

Cyclops Blink در طول فرآیند به روزرسانی قانونی پایدار می ماند.

NCSC خاطرنشان کرد: این کار زمانی که دستگاه ریبوت می شود، پایدار شده و اصلاح را سخت تر می کند.

جزئیات فنی بیشتر در مورد Cyclops Blink و نشانه های تسخیرشدگی (IoC) در اینجا موجود است. همچنین WatchGuard یک پرسش و پاسخ در مورد آن، یک طرح تشخیص و اصلاح و ابزارهای تشخیص منتشر کرده است.

این شرکت اظهار داشت: به دنبال یک بررسی کامل، WatchGaurd معتقد است که عامل تهدید از آسیب پذیری شناسایی شده قبلی استفاده کرده است که تنها زمانی قابل دسترسی است که سیاست های مدیریت دستگاه فایروال برای اجازه دسترسی مدیریت نامحدود از اینترنت پیکربندی شده باشند. این آسیب پذیری به طور کامل با اصلاح های امنیتی برطرف شد که در بروزرسانی های نرم افزاری در ماه مه 2021 شروع به کار کرد.

WatchGuard اولین بار توسط FBI در مورد حمله به دستگاه های خود در اواخر نوامبر 2021 مطلع شد، بنابراین به نظر نمی رسد که این تسخیرشدگی گسترده با وضعیت کنونی اوکراین مرتبط باشد. با این وجود، یا توجه به منبع آن ممکن است آماده سازی برای حملات آینده باشد که احتمال دارد در طول این درگیری نظامی در حال وقوع، اتفاق بیافتد.

در ادامه چه انتظاری بایستی داشت؟

Chester Winsniewski، دانشمند پژوهشی اصلی در Sophos، خاطر نشان کرده است که جنگ اطلاعاتی روشی است که Kremlin می تواند سعی کند واکنش بقیه جهان به اقدامات در اوکراین یا هر هدف دیگری از حمله را کنترل کند.

وی به Help Net Security گفت: پرچم های دروغین، توزیع نادرست، اختلال در ارتباطات و دستکاری رسانه های اجتماعی، همه اجزای کتابچه راهنمای جنگ اطلاعاتی روسیه هستند. آنها نیازی به ایجاد پوشش دائمی برای فعالیت های روی زمین و جاهای دیگر ندارند، آنها صرفا بایستی به میزان کافی تاخیر، سردرگمی و تناقض ایجاد کنند تا سایر عملیات های همزمان بتوانند به اهداف خود دست یابند.

جالب اینجاست که ایالات متحده و بریتانیا در تلاش هستند تا جلوی برخی از کمپین های نادرست را بگیرند و این می تواند اثربخشی آنها را محدود کند. با این حال، نباید تصور کنیم که مهاجمان تلاش خود را متوقف خواهند کرد، بنابراین بایستی آماده و هوشیار باشیم. درحالیکه دفاع در عمق بایستی در بهترین حالت امری عادی باشد، اما اگر بتوانیم انتظار افزایش دفعات و شدت حملات را داشته باشیم، بسیار مهم است. اطلاعات نادرست و پروپگندا به زودی به اوج خود می رسند، بایستی هر چیز غیرعادی در شبکه هایمان را در نظر بگیریم. زیرا همانطور که همه ما می دانیم، ممکن است ماه ها طول بکشد تا شواهدی از نفوذ دیجیتال به دلیل این درگیری روسیه و اوکراین ظاهر شود.

اشتراک گذاری این مقاله