گروه ترجمه قدس آنلاین (امیرمحمد سلطانپور) - پیش از حمله روسیه به اوکراین در ۲۴ فوریه، کارشناسان انتظار داشتند که حملات سایبری نقش بزرگی در این درگیری ایفا کند. با این حال، علیرغم توانایی‌های سایبری قوی روسیه، اقدامات نسبتاً کمی علیه سیستم‌های اوکراین از طریق حملات سایبری صورت گرفته است. دلایل متعددی وجود دارد که چرا روسیه حملات سایبری در مقیاس بزرگ از جمله حملات «سایبری جنبشی» را علیه اوکراین انجام نداده که یکی از آن ها دشواری های خاص برنامه ریزی برای حملات سایبری گسترده در یک جدول زمانی کوتاه مدت است. از طرف دیگر اوکراین استراتژی منحصربه‌فردی را در فضای سایبری دنبال کرده و تلاش می‌کند تا احساسات بین‌المللی را بسیج و ارتشی از متخصصان امنیت سایبری از تمام دنیا را برای حمله به اهداف زیرساخت‌های نظامی و حیاتی در روسیه ایجاد کند. درک کامل‌تر جنبه های سایبری تهاجم روسیه به اوکراین احتمالاً تا پس از پایان درگیری امکان‌پذیر نیست، اما می توان برای شروع، عملیات سایبری پر رنگ انجام شده توسط هر دو طرف را زیر ذره بین قرار داد.

حملات سایبری طرفداران روسیه

حملات محروم‌سازی از سرویس (DDoS) روسی ها

روسیه در اوایل فوریه یک سری حملات محروم‌سازی از سرویس (DDoS) علیه وب سایت های اوکراینی انجام داد؛ و طبق گزارش‌های آژانس اطلاعات نظامی روسیه، این حملات، وب‌سایت‌های بانکی و دفاعی اوکراین را هدف قرار دادند. این حملات در حالی صورت گرفت که تنش بین اوکراین و روسیه افزایش یافته بود.

روسیه به صورت متناوب به حملات DDoS ادامه داده و در هفته اول ماه مارچ، گروه های هکری روس از بدافزار DanaBot، برای انجام حملات DDoS علیه وب سایت های وزارت دفاع اوکراین استفاده می کنند. مشخص نیست که این گروه ها چه کسانی بوده و آیا با دولت روسیه مرتبط هستند یا خیر.

WhisperGate 

بدافزاری پاک کننده (که باعث پاک شدن تمامی داده ها و هارددیسک هدف می شود) و توسط مایکروسافت با نام ویسپرگِیت (WhisperGate) معرفی شده، در ۱۳ ژانویه ۲۰۲۲ در سیستم‌های اوکراینی قرار گرفت. این پاک‌کن به گونه‌ای طراحی شده بود که شبیه باج‌افزار به نظر رسیده و راهی برای رمزگشایی داده‌های خود در ازای پرداخت هزینه باشد، اما در واقعیت این بدافزار سیستم های هدف خود را یه کلی پاک کرد. این پاک کن در سیستم های سراسر اوکراین، از جمله وزارت خارجه و شبکه های مورد استفاده کابینه اوکراین یافت شد. دو پاک کن مورد استفاده در WhisperGate شباهت هایی به بدافزار پاک کن NotPetya دارند که در سال ۲۰۱۷ به اوکراین و چندین شرکت بزرگ چند ملیتی ضربه زد.

HermeticWiper 

شرکت های امنیت سایبری مجموعه جدیدی از حملات بدافزارهای پاک کننده را در ۲۳ فوریه ۲۰۲۲ شناسایی کردند که به HermeticWiper (یا FoxBlade) معروف شد. چندین بدافزار دیگر نیز در کنار HermeticWiper مستقر شدند، از جمله کرمی رایانه ای که برای گسترش پاک کن استفاده می شد. این پاک کن فراتر از مرزهای اوکراین گسترش یافته و ممکن است در برخی از سیستم های کشورهای بالتیک نیز تأثیر گذاشته باشد. به نظر می رسد HermeticWiper با کمپین های قبلی که توسط گروه هکری Sandworm تحت حمایت روسیه راه اندازی شده بود، شباهت هایی دارد.

IsaacWiper

روسیه همزمان با حمله به اوکراین در ۲۴ فوریه ۲۰۲۲، یک پاک کن به نام IsaacWiper را علیه سیستم های دولتی اوکراین راه اندازی کرد. این حملات درست پس از حملات HermeticWiper انجام شد و هدفمندتر از حملات قبلی به نظر می رسید. اما سازمان های آسیب دیده مدت ها قبل از استقرار این پاک کن در معرض آلودگی قرار گرفته بودند.

UNC۱۱۵۱

مقامات دولت اوکراین به گروه هکری بلاروسی یعنی UNC۱۱۵۱ مظنون شدند که یک حمله سایبری را با هدف قرار دادن بیش از ۷۰ وب سایت دولتی این کشور در ۱۴ ژانویه تدارک دیده بود. هکرها وب سایت ها را تخریب کردند و پیام های تهدیدآمیزی از جمله «بترسید و انتظار بدترین ها را داشته باشید» را پیش از عبور نیروهای روسی از مرز اوکراین به سیستم های این کشور ارسال کردند. البته گمان می رود که این یک حمله انحرافی از حملات مخرب تر بوده باشد.

در ۷ مارچ، UNC۱۱۵۱ در حال نصب یک «در پشتی» که در دسترس عموم نیز بود با نام MicroBackdoor، بر روی سیستم‌های دولتی اوکراین شناسایی شد. گستردگی حمله و مراکز دقیق مورد هدف، ناشناخته باقی مانده است.

گروه UNC۱۱۵۱ همچنین در اوایل ماه مارچ در حالی شناسایی شد که حملات فیشینگ را علیه دولت و ارتش‌ اوکراین و لهستان راه‌اندازی می‌کرد؛ اگرچه مشخص نیست که آیا آنها موفق به نفوذ به شبکه‌ای شده‌اند یا خیر.

هدف قرار دادن ارتش اوکراین در تلاش های فیشینگ

در ۲۵ فوریه، تیم واکنش اضطراری کامپیوتری اوکراین، گروه هکری تحت حمایت دولت بلاروس یعنی UNC۱۱۵۱ را به تلاش برای هک کردن حساب‌های ایمیل کادر نظامی خود در یک حمله فیشینگ گسترده متهم کرد. هنگامی که هکرها به حساب‌های کادر نظامی نفوذ کردند، از دفترچه‌های آدرسی که از این حساب ها به دست آورده بودند برای ارسال ایمیل‌های مخرب‌تر استفاده کردند. همچنین احتمال می رود که گروه UNC۱۱۵۱ در یک حملات فیشینگ دیگر با استفاده از ایمیل‌های نظامی اوکراینی که به دست آورده و با بدافزار SunSeed ، برای هدف قرار دادن اعضای دولت های اروپایی که به پناهندگان اوکراینی کمک می‌کنند، استفاده کرده باشد.

APT۲۸

گروه هکری روسی ملقب به APT۲۸ یک سری از حملات فیشینگ را هدایت کرده تا کاربران شرکت رسانه ای محبوب اوکراینی UKRNet را هدف قرار دهد. به نظر می رسد که این حملات پس از شناسایی توسط گروه تحلیل تهدیدات گوگل (TAG) به حالت تعلیق درآمده باشد.

حملات سایبری طرفداران اوکراین

Anonymous

گروه Anonymous، یک گروه غیرمتمرکز از گروه های هکری است که در اول ماه مارچ علیه دولت روسیه اعلان جنگ کرد. این گروه ادعا کرد که سایت هایی را که توسط رسانه های دولتی روسیه اداره می شدند غیرفعال کرده است. به نظر می رسد که Anonymous چندین بار در دو هفته گذشته رسانه های طرفدار روسیه را هدف قرار داده باشد. گروه Anonymous همچنین مدعی شد که چندین پخش کننده تلویزیونی اصلی مرتبط به روسیه از جمله کانال های تلویزیون دولتی روسیه ۲۴، کانال ۱، مسکو ۲۴ و سرویس های پخش Wink و Ivi را هک کرده است. پخش برنامه ها در این سرویس ها با پخش کلیپ هایی از جنگ در اوکراین قطع شد.

در دهم مارچ نیز، Anonymous اعلام کرد که سیستم Roskomnadzor یعنی آژانس روسی مسئول نظارت و سانسور رسانه‌ها در این کشور را هدف قرار داده است. این گروه بیش از ۳۶۰۰۰۰ فایل از جمله راهنمایی در مورد الزامات چگونگی اشاره به حمله به اوکراین در رسانه های روسیه را فاش کرد.

IT Army of Ukraine 

تلاش‌های اوکراینی ها در فضای مجازی باعث جذب گروه‌های هکری داوطلبی شد که اغلب آن ها از طریق رسانه‌های اجتماعی و کانال‌های تلگرامی هماهنگ شدند. ارتش فناوری اطلاعات اوکراین یا IT Army of Ukraine  شاید یکی از بزرگترین تلاش‌های دولت اوکراین برای هماهنگ کردن اقدامات گروه های هکری باشد. ارتش فناوری اطلاعات اهداف مهم خود را در یک کانال تلگرامی با صدها هزار عضو را تعیین کرد، و با جزئیاتی که مشخص کرده بود، افراد و گروه های مختلف هکری را به سمت این هدف ها فرستاد. ارتش فناوری اطلاعات، وب سایت های چندین بانک روسی، شبکه برق روسیه و سیستم راه آهن این کشور را هدف قرار داده و حملات DDoS گسترده ای را نیز علیه سایر اهداف استراتژیک پر اهمیت انجام داده است. به نظر می رسد بخش عمده ای از قدرت سایبری اوکراین از همین ارتش فناوری اطلاعات سرچشمه بگیرد.

حملات گروه های پارتیزان سایبری بلاروس به سیستم های قطار

گروه های پارتیزان سایبری بلاروس، گروهی است که در ژانویه در اعتراض به استقرار نیروهای روسیه در این کشور حملات سایبری خود را به سیستم‌های قطار بلاروس انجام داد و به نظر می‌رسد در ماه فوریه به حملات خود علیه راه‌آهن این کشور ادامه داده باشد. این حملات، وب‌سایت‌هایی را که برای خرید بلیط استفاده می‌شد را نابود کردند و ممکن است داده‌های رمزگذاری‌شده را نیز بر روی سیستم‌های سوئیچینگ و مسیریابی قطارهای این کشور قرار داده باشند، اگرچه مقیاس و شدت حملاتی که آن ها فراتر از حذف وب‌سایت‌ها انجام داده باشند هنوز مشخص نشده است.

RURansom Wiper 

ظهور بدافزار پاک کنی به نام RURansom در اول مارچ ۲۰۲۲، نشان دهنده یکی از اولین استفاده از پاک کن ها توسط گروه های هکری طرفدار اوکراین است، و ممکن است نشان دهنده مرحله جدیدی در حملات سایبری آن ها علیه روسیه باشد. RURansom به عنوان یک پاک کن عمل می کند و به قربانیان فرصتی برای پرداخت هزینه برای رمزگشایی سیستم هایشان ارائه نمی دهد. به نظر می رسد این بدافزار سیستم های قربانی خود را به محض پیدا کردن IP روسیه در آن سیستم عملیاتی می کند و اگر نتوانست این کار را انجام دهد، بدافزار، اجرای عملیات پاک کردن سیستم را متوقف می کند. به نظر می رسد که سازندگان این بدافزار به طور فعالی نسخه های جدیدی از کار خود را منتشر می کنند و ممکن است با گذشت زمان قوی تر نیز بشوند.

*بازنشر مطالب دپارتمان ترجمه به منزله تأیید یا رد محتوای آن نیست و صرفا جهت آگاهی مخاطبان قدس آنلاین منتشر می‌شود.