افزایش حملات گروه هکری آرماگدون علیه خدمات دولتی اوکراین

بر اساس تحقیقات اخیر، گروه هکری منتسب به روسیه که به نام آرماگدون (Armageddon) شناخته می شود، یکی از فعال ترین و خطرناک ترین عاملان تهدید کننده اوکراین در طول جنگ با روسیه می باشد.

به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از therecord ، این گروه عمدتاً عملیات جاسوسی سایبری علیه سرویس های امنیتی و دفاعی اوکراین را انجام می دهد اما بر اساس گزارش تیم واکنش به فوریت های رایانه ای اوکراین (CERT-UA) این گروه همچنین به حداقل یک حمله سایبری ویرانگر علیه زیرساخت اطلاعاتی نامعلوم هم مرتبط می باشد.

به گفته محقق اطلاعات تهدید در شرکت امنیت سایبری: آنها امسال حتی از سال گذشته از نظر توسعه بدافزار و همچنین کمپین های فیشینگ فعال تر هستند.

به گفته تحلیلگر اطلاعاتی در ایالات متحده، ظاهرا این گروه تنها برای انجام حملات به اوکراین ایجاد شده است.

شاید این گروه از نظر فنی پیچیده نباشد، اما ترکیب تمرکز و انرژی آن ها باعث می شود که تهدیدکننده باشند.

تاکتیک ها و ابزار

بنا به گفته متخصصان امنیت سایبری، گروه آرماگدون در شبه‌جزیره کریمه و زیر نظر سرویس امنیت فدرال روسیه (FSB) در مسکو عمل می‌کند.

CERT-UA، اعلام نموده اخیراً، این گروه به طور مداوم تاکتیک های خود را بهبود می بخشد و ابزارهای خود را بازنویسی می کند تا در معرض شناسایی قرار نگیرند.

بنا به اعلام دیمیتری بستوزف، مدیر ارشد تیم اطلاعاتی تهدیدات سایبری بلک‌بری، یکی از آخرین تکنیک‌های مشاهده‌شده توسط محققان، پیاده‌سازی تکنیک عفونت USB می باشد، بنابراین اگر یک درایو آلوده بین رایانه‌ها به اشتراک گذاشته شود، عامل تهدید می‌تواند گره‌های جدید را آلوده کند.

این روش یک روش ساده اما گاهی موثر برای انتشار بدافزار به رایانه های بیشتری در یک شبکه و طولانی تر کردن زمان نفوذ آنها می باشد.

به گفته CERT-UA، هکرهای آرماگدون برای دسترسی غیرمجاز به سیستم قربانی، بیشتر از ایمیل‌های فیشینگ یا پیام‌های متنی ارسال شده از حساب‌های تلگرام، واتس‌اپ و سیگنال که قبلاً در معرض خطر قرار گرفته بودند، استفاده می‌کنند.

با ورود اولیه هکرها، آنها به طور معمول در بازه زمانی ۳۰ تا ۵۰ دقیقه، به سرقت فایل‌ها می‌پردازند و اغلب از نرم‌افزار مخرب GammaSteel استفاده می‌کنند. این نرم‌افزار یک ابزار جاسوسی سفارشی است که قادر به انتقال فایل‌ها با پسوندهای خاص، سرقت مدارک کاربران و گرفتن تصاویر صفحه‌نمایش کامپیوتر قربانی می باشد. و اگر حداقل یک فایل مخرب در آنجا باقی بماند، هکرها می توانند کامپیوتر را دوباره آلوده کنند.

جاسوسی

تمرکز بر جاسوسی، آرماگدون را از سایر گروه های روسی تحت حمایت دولت، از جمله Sandworm، که بیشتر بر روی خرابکاری سایبری متمرکز می باشد، متمایز می کند. ارزیابی تأثیر حملات آرماگدون برای محققان دشوارتر می باشد.

این گروه بیشتر از تلگرام برای ارسال دستورالعمل‌ها به دستگاه‌های در معرض خطر، دریافت اطلاعات از آنها و هماهنگ کردن اقدامات آنها استفاده می‌کند.

استفاده از تلگرام به عامل تهدید کمک می‌کند تا هنگام برقراری ارتباط با سرورهای این پلتفرم که منابع معتبر وب هستند، «چراغ خاموش حرکت کنند». بدین تریب، برای مدافعان، تشخیص نفوذ و ارتباطات مخرب به طور کلی دشوارتر می شود.

با اینکه Gamaredon در اوکراین “کاملاً موفق” بوده است، اما همچنان با چالش هایی مانند حرکت جانبی در شبکه های آلوده روبرو می باشد.

این گروه در تلاش است تا کمبود مهارت های فنی خود را با پشتکار در حملات خود جبران کند. آنها تمایل دارند فقط رایانه‌های فردی را در سازمان‌های هدف به خطر بیاندازند و به احتمال زیاد تنها به بخش‌های محدودی از سیستم‌ها و منابع سازمان دسترسی پیدا می‌کنند و قدرت کنترل کامل را ندارند.

پایان پیام/