حمله سایبری گروه هکری Void Balaur

کمیته رکن چهارم – به‌تازگی، گروه هکری Void Balaur به سران شرکت‌های مخابراتی روسیه، حمله سایبری انجام داد.

در نوامبر سال گذشته میلادی، خبری مبنی بر نفوذ گروه هکری به نام Void Balaur به تعدادی از حساب‌های شبکه‌های اجتماعی، سران حوزه مخابراتی، مدیران تجاری و … در کشورهای مختلف، منتشر شد.

در این میان، گروه مذکور که خود را «Rockethack» نامیده بود، سرویس‌های خود را به‌صورت زیرزمینی از طریق فروم‌های روسی به فروش رساند؛ اما محققان شرکت امنیتی ترندمیکرو توانستند طی گزارشی از فعالیت‌های این گروه پرده بردارند.

این شرکت اعلام کرد گروه هکری فوق توانست از سال ۲۰۱۵ بیش از ۳۵۰۰ هدف را نشانه بگیرند و بسیاری از آن‌ها در بخش صنعتی بودند.

ژورنالیست‌ها، فعالان حقوق بشر، سیاست‌مداران، محققان و پزشکان، شرکت‌های ژنومیک و بیوتکنولوژیف مهندسان مخابراتی، شرکت‌های هواپیمایی تجاری، حساب‌های ارزهای دیجیتال اهداف این حمله بودند. بسیاری از اهداف و منابع داده این گروه بر روسیه و کشورهای حوزه نفوذ روسیه متمرکز است.

با این حال، سیاستمداران یا افرادی که در پست‌های کلیدی در شرکت‌هایی از ایالات متحده، اسرائیل، ژاپن و چندین کشور اروپایی کار می‌کنند، در میان قربانیان شناسایی شده‌اند. این گروه، سیاستمدارانی از کشورهای مختلف از جمله ازبکستان، بلاروس، اوکراین، اسلواکی، روسیه، قزاقستان، ارمنستان، نروژ، فرانسه و ایتالیا را هدف قرار داده است.

این گروه علاوه بر حملات فیشینگ، به دنبال نفوذ به زنجیره تأمین از طریق حملات پایدار و پیشرفته (APT) بود تا بتواند به طور مستقیم به ارائه‌دهندگان خدمات مختلف و سایر سازمان‌هایی که داده‌های حساس را در اختیار دارند، دسترسی پیدا کند.

خدمات این گروه، می‌تواند قربانیان را در معرض اخاذی، سرقت هویت، جاسوسی و حتی به خطر انداختن جان آن‌ها قرار دهد. بیشترین میزان داده‌هایی که این گروه به دست آورد، مربوط به روسیه است که در آن به اطلاعاتی از منابع فدرال و محلی دست یافته‌اند.

البته اینکه این اطلاعات را چگونه به دست آورده‌اند، مشخص نیست و احتمال داده شد که حتی امکان دارد با رشوه دادن باشد. گروه فوق، به اطلاعات بانکی و مخابراتی دسترسی داشت؛ مانند پیامک‌ها و سوابق تماس‌ها، مبدأ تماس‌ها، موقعیت تماس و سیم‌کارت، اطلاعات کارت‌های پرداخت. مهندسان مخابراتی اسراییلی، انگلیسی و روسی، اپراتور مجازی شبکه در انگلیس و روسیه، اپراتور ارتباطات ماهواره‌ای، تولیدکننده تجهیزات سلولی و شرکت‌های ناوبری رادیویی از جمله قربانیان بوده‌اند.

در حالی که مکان اعضای گروه هکری فوق مشخص نیست، آن‌ها به‌وضوح به زبان روسی صحبت می‌کنند زیرا بیشتر منابع داده و قربانیان آن‌ها از روسیه یا کشورهای روسی زبان هستند.

به نظر می‌رسد، ساعات کاری آن‌ها در طول کمپین‌های مشاهده شده، توسط ترند میکرو با ساعات کاری عادی در مناطق زمانی اروپای شرقی و روسیه غربی همپوشانی دارد. محققان ترند میکرو، مدعی هستند، خدمات این گروه نه‌تنها برای جرایم سایبری معمولی بلکه به دلایل سیاسی نیز استفاده می‌شود.

دو بدافزار استفاده شده از سوی این گروه

تروجان Z*Stealer: یک تروجان ویندوز است که برای سرقت اطلاعات کاربری ذخیره شده از برنامه‌های کاربردی از جمله نرم‌افزار پیام‌رسانی فوری، کلاینت‌های FTP، کلاینت‌های ایمیل، کلاینت‌های دسکتاپ از راه دور، VNC و پروتکل دسترسی از راه دور به دسکتاپ، مرورگرها و کیف پول‌های ارزهای دیجیتال محلی طراحی شده است.
DroidWatcher: یک تروجان اندرویدی است که می‌تواند پیام‌های SMS و گزارش تماس‌ها را سرقت، تماس‌های تلفنی را ضبط کند، از صفحه نمایش عکس بگیرد و موقعیت GPS را به صورت دوره‌ای ضبط کند و از برنامه‌های پیام‌رسانی مانند VK یا WhatsApp جاسوسی کند.

فیک هاکیوبورد (Feike Hacquebord)، محقق ارشد در شرکت ترند میکرو در واکنش‌به این حملات گفت: اهداف آن‌ها، یک بسته ترکیبی بود. به نظر می‌رسید مشتریان متفاوتی از آن‌ها استفاده می‌کردند که با برداشت ما مبنی بر اینکه آن‌ها، یک گروه مزدور سایبری هستند که می‌توانند از سوی هرکسی به کار گرفته شوند، مطابقت داشت. این گروه برای کمپین‌های بلندمدت استخدام شده است، چیزی که برای سایر اهداف نیز دیده‌ایم.
محاسبه میزان موفقیت دقیق گروه دشوار است، اما نظرات مشتریانی که در انجمن‌های زیرزمینی مشاهده کرده، بسیار مثبت است؛ اما نتوانستیم فراتر از آن برویم تا اطلاعات عمیقی از این گروه به دست آوریم.

توصیه‌های ترندمیکرو

•  از خدمات ایمیل یک شرکت معتبر استفاده کنید که از امنیت و استانداردهای حفظ حریم خصوصی بالایی برخوردار است.
•  از احراز هویت دومرحله‌ای برای حساب‌های ایمیل و شبکه‌های اجتماعی استفاده کنید، اما به‌جای استفاده از پیامک، استفاده از یک برنامه یا دستگاهی مانند یوبی‌کی (YubiKey) را در نظر بگیرید.
• از برنامه‌هایی با رمزگذاری end-to-end برای ارتباطات استفاده کنید.
• از سیستم‌های رمزگذاری مانند Pretty Good Privacy (PGP) برای برقراری ارتباط شامل اطلاعات حساس یا گفتگو استفاده کنید.
• پیام‌های قدیمی و غیرضروری را برای همیشه حذف کنید تا در صورت هک شدن دستگاه، داده‌های حساس به دست اشخاص ثالث نرسد.
• استفاده از برخی از ویژگی‌های برنامه‌های تلفن همراه را در نظر بگیرید که امکان تنظیم زمانی را فراهم می‌کنند که پس از آن چت‌ها برای فرستنده و گیرنده ناپدید می‌شوند.
• از رمزگذاری درایو در همه دستگاه‌های محاسباتی (computing devices) استفاده کنید.
• لپ‌تاپ و کامپیوتر را در صورت عدم استفاده خاموش‌کنید.

منبع : سایبربان