هکرهای مرتبط با سرویس اطلاعات نظامی روسیه با کمپینهای فیشینگ با حجم وسیعی که صدها کاربر در اوکراین را هدف قرار میدهند برای استخراج اطلاعات و تأثیرگذاری بر گفتمان عمومی مرتبط با جنگ مرتبط هستند.
گروه تحلیل تهدیدات گوگل (TAG) که فعالیتهای این بازیگر تحت نام FROZENLAKE را رصد میکند، گفت که این حملات همچنان "تمرکز این گروه در سال 2022 بر هدف قرار دادن کاربران ایمیل در اروپای شرقی" است.
این بازیگر سایبری تحت حمایت دولتی که با نامهای APT28، Fancy Bear، Forest Blizzard، Iron Twilight، Sednit و Sofacy نیز دنبال میشود، بسیار فعال و ماهر است. حداقل از سال 2009 فعال بوده و رسانه ها، دولت ها و نهادهای نظامی را برای جاسوسی هدف قرار داده است.
آخرین مجموعه نفوذ، که از اوایل فوریه 2023 شروع شد، شامل استفاده از حملات (XSS) در وب سایت های مختلف دولتی اوکراین برای هدایت کاربران به دامنه های فیشینگ و گرفتن اعتبار آنها بود.
این افشاگری در حالی صورت میگیرد که سازمانهای اطلاعاتی و مجری قانون بریتانیا و ایالات متحده هشداری مشترک درباره حملات APT28 منتشر کردند که از یک آسیبپذیری قدیمی و شناختهشده در روترهای سیسکو برای استقرار بدافزار موسوم به Jaguar Tooth سوء استفاده میکرد.
FROZENLAKE تنها بازیگری است که از زمان تهاجم نظامی روسیه به این کشور بیش از یک سال پیش، روی اوکراین تمرکز کرده است. یکی دیگر از گروه های متخاصم قابل توجه FROZENBARENTS است - با نام مستعار Sandworm، Seashell Blizzard (Née Iridium)، یا Voodoo Bear - که در تلاش مداوم برای هدف قرار دادن سازمان های وابسته به کنسرسیوم خط لوله خزر (CPC) و سایر نهادهای بخش انرژی در اروپای شرقی شرکت کرده است.
هر دو گروه به اداره اطلاعات اصلی ستاد کل (GRU) نسبت داده شدهاند که APT28 به واحد اطلاعات نظامی 85 مرکز خدمات ویژه (GTsSS) 26165 وابسته است. از سوی دیگر، اعتقاد بر این است که این تیم بخشی از واحد 74455 GRU است.
FROZENBARENTS، که "همه کاره ترین بازیگر سایبری GRU" نامیده می شود، همچنین مشاهده شده است که از اوایل دسامبر 2022 حملات فیشینگ معتبری را با هدف قرار دادن صنایع دفاعی اوکراین، ارتش و کاربران ایمیل وب Ukr.net انجام می دهد.
گفته میشود که این بازیگر تهدید به ایجاد شخصیتهای آنلاین در سراسر یوتیوب، تلگرام و اینستاگرام برای انتشار روایتهای طرفدار روسیه، افشای اطلاعات دزدیده شده از سازمانهای در معرض خطر، و ارسال اهدافی برای حملات انکار سرویس توزیع شده (DDoS) پرداخته است.
بیلی لئونارد، محقق TAG گفت: «FROZENBARENTS کاربران مرتبط با کانال های محبوب در تلگرام را هدف قرار داده است. «کمپینهای فیشینگ که از طریق ایمیل و پیامک ارسال میشوند، تلگرام را برای سرقت اطلاعات هویتی جعلی میکنند و گاهی کاربران کانالهای طرفدار روسیه را هدف قرار میدهند.»
سومین عامل تهدید کننده مورد علاقه PUSCHA (معروف به Ghostwriter یا UNC1151)، یک گروه تحت حمایت دولت بلاروس است که به نمایندگی از منافع روسیه عمل میکند و حملات فیشینگ هدفمند را انجام میدهد و ارائهدهندگان ایمیل اوکراینی مانند i.ua و meta را متمایز میکند. ua برای گرفتن اعتبار.
در نهایت، Google TAG مجموعهای از حملات را که توسط گروه پشت باجافزار کوبا برای استقرار RomCom RAT در شبکههای دولتی و نظامی اوکراین انجام شده است را برجسته کرد.
لئونارد خاطرنشان کرد: «این نشاندهنده تغییر بزرگی از عملیاتهای باجافزار سنتی این بازیگر است و رفتاری مشابه با بازیگری دارد که عملیات جمعآوری اطلاعات را انجام میدهد».
این توسعه همچنین به دنبال هشدار جدیدی از مرکز ملی امنیت سایبری بریتانیا (NCSC) در مورد تهدیدات نوظهور علیه سازمانهای زیرساخت ملی حیاتی از سوی گروههای همسو با دولت، بهویژه آنهایی که با حمله روسیه به اوکراین «همدل» هستند، صورت میگیرد.
این آژانس گفت: "این گروه ها نه با انگیزه منافع مالی هستند و نه تحت کنترل دولت هستند، بنابراین اقدامات آنها می تواند کمتر قابل پیش بینی باشد و هدف آنها گسترده تر از بازیگران سنتی جرایم سایبری باشد."
گروه تحلیل تهدیدات گوگل (TAG) که فعالیتهای این بازیگر تحت نام FROZENLAKE را رصد میکند، گفت که این حملات همچنان "تمرکز این گروه در سال 2022 بر هدف قرار دادن کاربران ایمیل در اروپای شرقی" است.
این بازیگر سایبری تحت حمایت دولتی که با نامهای APT28، Fancy Bear، Forest Blizzard، Iron Twilight، Sednit و Sofacy نیز دنبال میشود، بسیار فعال و ماهر است. حداقل از سال 2009 فعال بوده و رسانه ها، دولت ها و نهادهای نظامی را برای جاسوسی هدف قرار داده است.
آخرین مجموعه نفوذ، که از اوایل فوریه 2023 شروع شد، شامل استفاده از حملات (XSS) در وب سایت های مختلف دولتی اوکراین برای هدایت کاربران به دامنه های فیشینگ و گرفتن اعتبار آنها بود.
این افشاگری در حالی صورت میگیرد که سازمانهای اطلاعاتی و مجری قانون بریتانیا و ایالات متحده هشداری مشترک درباره حملات APT28 منتشر کردند که از یک آسیبپذیری قدیمی و شناختهشده در روترهای سیسکو برای استقرار بدافزار موسوم به Jaguar Tooth سوء استفاده میکرد.
FROZENLAKE تنها بازیگری است که از زمان تهاجم نظامی روسیه به این کشور بیش از یک سال پیش، روی اوکراین تمرکز کرده است. یکی دیگر از گروه های متخاصم قابل توجه FROZENBARENTS است - با نام مستعار Sandworm، Seashell Blizzard (Née Iridium)، یا Voodoo Bear - که در تلاش مداوم برای هدف قرار دادن سازمان های وابسته به کنسرسیوم خط لوله خزر (CPC) و سایر نهادهای بخش انرژی در اروپای شرقی شرکت کرده است.
هر دو گروه به اداره اطلاعات اصلی ستاد کل (GRU) نسبت داده شدهاند که APT28 به واحد اطلاعات نظامی 85 مرکز خدمات ویژه (GTsSS) 26165 وابسته است. از سوی دیگر، اعتقاد بر این است که این تیم بخشی از واحد 74455 GRU است.
FROZENBARENTS، که "همه کاره ترین بازیگر سایبری GRU" نامیده می شود، همچنین مشاهده شده است که از اوایل دسامبر 2022 حملات فیشینگ معتبری را با هدف قرار دادن صنایع دفاعی اوکراین، ارتش و کاربران ایمیل وب Ukr.net انجام می دهد.
گفته میشود که این بازیگر تهدید به ایجاد شخصیتهای آنلاین در سراسر یوتیوب، تلگرام و اینستاگرام برای انتشار روایتهای طرفدار روسیه، افشای اطلاعات دزدیده شده از سازمانهای در معرض خطر، و ارسال اهدافی برای حملات انکار سرویس توزیع شده (DDoS) پرداخته است.
بیلی لئونارد، محقق TAG گفت: «FROZENBARENTS کاربران مرتبط با کانال های محبوب در تلگرام را هدف قرار داده است. «کمپینهای فیشینگ که از طریق ایمیل و پیامک ارسال میشوند، تلگرام را برای سرقت اطلاعات هویتی جعلی میکنند و گاهی کاربران کانالهای طرفدار روسیه را هدف قرار میدهند.»
سومین عامل تهدید کننده مورد علاقه PUSCHA (معروف به Ghostwriter یا UNC1151)، یک گروه تحت حمایت دولت بلاروس است که به نمایندگی از منافع روسیه عمل میکند و حملات فیشینگ هدفمند را انجام میدهد و ارائهدهندگان ایمیل اوکراینی مانند i.ua و meta را متمایز میکند. ua برای گرفتن اعتبار.
در نهایت، Google TAG مجموعهای از حملات را که توسط گروه پشت باجافزار کوبا برای استقرار RomCom RAT در شبکههای دولتی و نظامی اوکراین انجام شده است را برجسته کرد.
لئونارد خاطرنشان کرد: «این نشاندهنده تغییر بزرگی از عملیاتهای باجافزار سنتی این بازیگر است و رفتاری مشابه با بازیگری دارد که عملیات جمعآوری اطلاعات را انجام میدهد».
این توسعه همچنین به دنبال هشدار جدیدی از مرکز ملی امنیت سایبری بریتانیا (NCSC) در مورد تهدیدات نوظهور علیه سازمانهای زیرساخت ملی حیاتی از سوی گروههای همسو با دولت، بهویژه آنهایی که با حمله روسیه به اوکراین «همدل» هستند، صورت میگیرد.
این آژانس گفت: "این گروه ها نه با انگیزه منافع مالی هستند و نه تحت کنترل دولت هستند، بنابراین اقدامات آنها می تواند کمتر قابل پیش بینی باشد و هدف آنها گسترده تر از بازیگران سنتی جرایم سایبری باشد."