کمیته رکن چهارم– پژوهشگران امنیتی از کارزار پیچیدهای با نام عملیات SkyCloak پرده برداشتند که طی آن مهاجمان با استفاده از ایمیلهای فیشینگ حاوی اسناد نظامی، بدافزاری را به سیستمهای احتمالی متعلق به بخش دفاعی در روسیه و بلاروس منتقل کردهاند.
به گزارش کمیته رکن چهارم، این بدافزار با بهرهگیری از نسخه دستکاریشده OpenSSH و ارتباطات مخفیشده از طریق سرویس تور و پروتکل obfs4، امکان دسترسی پنهان به سیستم قربانی را فراهم میکند. فایلهای آلوده ابتدا بررسیهایی انجام میدهند تا در محیط تحلیل اجرا نشوند و پس از عبور از این مرحله، فایل PDF جعلی نمایش داده میشود تا کاربر متوجه آلودگی نشود.
دو وظیفه زمانبندیشده (Scheduled Task) در سیستم قربانی تعریف میشود: یکی برای اجرای دربپشتی SSH و دیگری برای راهاندازی سرویس تور. از طریق این مکانیزمها، مهاجم میتواند از راه دور به سرویسهایی مانند RDP، SSH و SMB دسترسی پیدا کند، آن هم بهصورت ناشناس و بدون نیاز به باز بودن پورتهای مرسوم.
اتصال از راه دور با استفاده از کلیدهای از پیش تعریفشده انجام میشود و اطلاعات سیستم به همراه آدرس .onion اختصاصی به مهاجم ارسال میگردد. ارتباطات از طریق شبکه تور رمزنگاری شده و ناشناس باقی میماند.
هنوز گروه مشخصی مسئولیت این عملیات را بر عهده نگرفته، اما شباهتهایی با فعالیتهای قبلی گروه UAC-0125 مشاهده شده است. به گفته تحلیلگران، هدف اصلی این کمپین، نفوذ طولانیمدت و کنترل کامل بر زیرساختهای حساس با استفاده از روشهای پنهانکارانه بوده است.
