گروه ترجمه قدس آنلاین (امیرمحمد سلطانپور) - پیش از حمله روسیه به اوکراین در ۲۴ فوریه، کارشناسان انتظار داشتند که حملات سایبری نقش بزرگی در این درگیری ایفا کند. با این حال، علیرغم تواناییهای سایبری قوی روسیه، اقدامات نسبتاً کمی علیه سیستمهای اوکراین از طریق حملات سایبری صورت گرفته است. دلایل متعددی وجود دارد که چرا روسیه حملات سایبری در مقیاس بزرگ از جمله حملات «سایبری جنبشی» را علیه اوکراین انجام نداده که یکی از آن ها دشواری های خاص برنامه ریزی برای حملات سایبری گسترده در یک جدول زمانی کوتاه مدت است. از طرف دیگر اوکراین استراتژی منحصربهفردی را در فضای سایبری دنبال کرده و تلاش میکند تا احساسات بینالمللی را بسیج و ارتشی از متخصصان امنیت سایبری از تمام دنیا را برای حمله به اهداف زیرساختهای نظامی و حیاتی در روسیه ایجاد کند. درک کاملتر جنبه های سایبری تهاجم روسیه به اوکراین احتمالاً تا پس از پایان درگیری امکانپذیر نیست، اما می توان برای شروع، عملیات سایبری پر رنگ انجام شده توسط هر دو طرف را زیر ذره بین قرار داد.
حملات سایبری طرفداران روسیه
حملات محرومسازی از سرویس (DDoS) روسی ها
روسیه در اوایل فوریه یک سری حملات محرومسازی از سرویس (DDoS) علیه وب سایت های اوکراینی انجام داد؛ و طبق گزارشهای آژانس اطلاعات نظامی روسیه، این حملات، وبسایتهای بانکی و دفاعی اوکراین را هدف قرار دادند. این حملات در حالی صورت گرفت که تنش بین اوکراین و روسیه افزایش یافته بود.
روسیه به صورت متناوب به حملات DDoS ادامه داده و در هفته اول ماه مارچ، گروه های هکری روس از بدافزار DanaBot، برای انجام حملات DDoS علیه وب سایت های وزارت دفاع اوکراین استفاده می کنند. مشخص نیست که این گروه ها چه کسانی بوده و آیا با دولت روسیه مرتبط هستند یا خیر.
WhisperGate
بدافزاری پاک کننده (که باعث پاک شدن تمامی داده ها و هارددیسک هدف می شود) و توسط مایکروسافت با نام ویسپرگِیت (WhisperGate) معرفی شده، در ۱۳ ژانویه ۲۰۲۲ در سیستمهای اوکراینی قرار گرفت. این پاککن به گونهای طراحی شده بود که شبیه باجافزار به نظر رسیده و راهی برای رمزگشایی دادههای خود در ازای پرداخت هزینه باشد، اما در واقعیت این بدافزار سیستم های هدف خود را یه کلی پاک کرد. این پاک کن در سیستم های سراسر اوکراین، از جمله وزارت خارجه و شبکه های مورد استفاده کابینه اوکراین یافت شد. دو پاک کن مورد استفاده در WhisperGate شباهت هایی به بدافزار پاک کن NotPetya دارند که در سال ۲۰۱۷ به اوکراین و چندین شرکت بزرگ چند ملیتی ضربه زد.
HermeticWiper
شرکت های امنیت سایبری مجموعه جدیدی از حملات بدافزارهای پاک کننده را در ۲۳ فوریه ۲۰۲۲ شناسایی کردند که به HermeticWiper (یا FoxBlade) معروف شد. چندین بدافزار دیگر نیز در کنار HermeticWiper مستقر شدند، از جمله کرمی رایانه ای که برای گسترش پاک کن استفاده می شد. این پاک کن فراتر از مرزهای اوکراین گسترش یافته و ممکن است در برخی از سیستم های کشورهای بالتیک نیز تأثیر گذاشته باشد. به نظر می رسد HermeticWiper با کمپین های قبلی که توسط گروه هکری Sandworm تحت حمایت روسیه راه اندازی شده بود، شباهت هایی دارد.
IsaacWiper
روسیه همزمان با حمله به اوکراین در ۲۴ فوریه ۲۰۲۲، یک پاک کن به نام IsaacWiper را علیه سیستم های دولتی اوکراین راه اندازی کرد. این حملات درست پس از حملات HermeticWiper انجام شد و هدفمندتر از حملات قبلی به نظر می رسید. اما سازمان های آسیب دیده مدت ها قبل از استقرار این پاک کن در معرض آلودگی قرار گرفته بودند.
UNC۱۱۵۱
مقامات دولت اوکراین به گروه هکری بلاروسی یعنی UNC۱۱۵۱ مظنون شدند که یک حمله سایبری را با هدف قرار دادن بیش از ۷۰ وب سایت دولتی این کشور در ۱۴ ژانویه تدارک دیده بود. هکرها وب سایت ها را تخریب کردند و پیام های تهدیدآمیزی از جمله «بترسید و انتظار بدترین ها را داشته باشید» را پیش از عبور نیروهای روسی از مرز اوکراین به سیستم های این کشور ارسال کردند. البته گمان می رود که این یک حمله انحرافی از حملات مخرب تر بوده باشد.
در ۷ مارچ، UNC۱۱۵۱ در حال نصب یک «در پشتی» که در دسترس عموم نیز بود با نام MicroBackdoor، بر روی سیستمهای دولتی اوکراین شناسایی شد. گستردگی حمله و مراکز دقیق مورد هدف، ناشناخته باقی مانده است.
گروه UNC۱۱۵۱ همچنین در اوایل ماه مارچ در حالی شناسایی شد که حملات فیشینگ را علیه دولت و ارتش اوکراین و لهستان راهاندازی میکرد؛ اگرچه مشخص نیست که آیا آنها موفق به نفوذ به شبکهای شدهاند یا خیر.
هدف قرار دادن ارتش اوکراین در تلاش های فیشینگ
در ۲۵ فوریه، تیم واکنش اضطراری کامپیوتری اوکراین، گروه هکری تحت حمایت دولت بلاروس یعنی UNC۱۱۵۱ را به تلاش برای هک کردن حسابهای ایمیل کادر نظامی خود در یک حمله فیشینگ گسترده متهم کرد. هنگامی که هکرها به حسابهای کادر نظامی نفوذ کردند، از دفترچههای آدرسی که از این حساب ها به دست آورده بودند برای ارسال ایمیلهای مخربتر استفاده کردند. همچنین احتمال می رود که گروه UNC۱۱۵۱ در یک حملات فیشینگ دیگر با استفاده از ایمیلهای نظامی اوکراینی که به دست آورده و با بدافزار SunSeed ، برای هدف قرار دادن اعضای دولت های اروپایی که به پناهندگان اوکراینی کمک میکنند، استفاده کرده باشد.
APT۲۸
گروه هکری روسی ملقب به APT۲۸ یک سری از حملات فیشینگ را هدایت کرده تا کاربران شرکت رسانه ای محبوب اوکراینی UKRNet را هدف قرار دهد. به نظر می رسد که این حملات پس از شناسایی توسط گروه تحلیل تهدیدات گوگل (TAG) به حالت تعلیق درآمده باشد.
حملات سایبری طرفداران اوکراین
Anonymous
گروه Anonymous، یک گروه غیرمتمرکز از گروه های هکری است که در اول ماه مارچ علیه دولت روسیه اعلان جنگ کرد. این گروه ادعا کرد که سایت هایی را که توسط رسانه های دولتی روسیه اداره می شدند غیرفعال کرده است. به نظر می رسد که Anonymous چندین بار در دو هفته گذشته رسانه های طرفدار روسیه را هدف قرار داده باشد. گروه Anonymous همچنین مدعی شد که چندین پخش کننده تلویزیونی اصلی مرتبط به روسیه از جمله کانال های تلویزیون دولتی روسیه ۲۴، کانال ۱، مسکو ۲۴ و سرویس های پخش Wink و Ivi را هک کرده است. پخش برنامه ها در این سرویس ها با پخش کلیپ هایی از جنگ در اوکراین قطع شد.
در دهم مارچ نیز، Anonymous اعلام کرد که سیستم Roskomnadzor یعنی آژانس روسی مسئول نظارت و سانسور رسانهها در این کشور را هدف قرار داده است. این گروه بیش از ۳۶۰۰۰۰ فایل از جمله راهنمایی در مورد الزامات چگونگی اشاره به حمله به اوکراین در رسانه های روسیه را فاش کرد.
IT Army of Ukraine
تلاشهای اوکراینی ها در فضای مجازی باعث جذب گروههای هکری داوطلبی شد که اغلب آن ها از طریق رسانههای اجتماعی و کانالهای تلگرامی هماهنگ شدند. ارتش فناوری اطلاعات اوکراین یا IT Army of Ukraine شاید یکی از بزرگترین تلاشهای دولت اوکراین برای هماهنگ کردن اقدامات گروه های هکری باشد. ارتش فناوری اطلاعات اهداف مهم خود را در یک کانال تلگرامی با صدها هزار عضو را تعیین کرد، و با جزئیاتی که مشخص کرده بود، افراد و گروه های مختلف هکری را به سمت این هدف ها فرستاد. ارتش فناوری اطلاعات، وب سایت های چندین بانک روسی، شبکه برق روسیه و سیستم راه آهن این کشور را هدف قرار داده و حملات DDoS گسترده ای را نیز علیه سایر اهداف استراتژیک پر اهمیت انجام داده است. به نظر می رسد بخش عمده ای از قدرت سایبری اوکراین از همین ارتش فناوری اطلاعات سرچشمه بگیرد.
حملات گروه های پارتیزان سایبری بلاروس به سیستم های قطار
گروه های پارتیزان سایبری بلاروس، گروهی است که در ژانویه در اعتراض به استقرار نیروهای روسیه در این کشور حملات سایبری خود را به سیستمهای قطار بلاروس انجام داد و به نظر میرسد در ماه فوریه به حملات خود علیه راهآهن این کشور ادامه داده باشد. این حملات، وبسایتهایی را که برای خرید بلیط استفاده میشد را نابود کردند و ممکن است دادههای رمزگذاریشده را نیز بر روی سیستمهای سوئیچینگ و مسیریابی قطارهای این کشور قرار داده باشند، اگرچه مقیاس و شدت حملاتی که آن ها فراتر از حذف وبسایتها انجام داده باشند هنوز مشخص نشده است.
RURansom Wiper
ظهور بدافزار پاک کنی به نام RURansom در اول مارچ ۲۰۲۲، نشان دهنده یکی از اولین استفاده از پاک کن ها توسط گروه های هکری طرفدار اوکراین است، و ممکن است نشان دهنده مرحله جدیدی در حملات سایبری آن ها علیه روسیه باشد. RURansom به عنوان یک پاک کن عمل می کند و به قربانیان فرصتی برای پرداخت هزینه برای رمزگشایی سیستم هایشان ارائه نمی دهد. به نظر می رسد این بدافزار سیستم های قربانی خود را به محض پیدا کردن IP روسیه در آن سیستم عملیاتی می کند و اگر نتوانست این کار را انجام دهد، بدافزار، اجرای عملیات پاک کردن سیستم را متوقف می کند. به نظر می رسد که سازندگان این بدافزار به طور فعالی نسخه های جدیدی از کار خود را منتشر می کنند و ممکن است با گذشت زمان قوی تر نیز بشوند.
*بازنشر مطالب دپارتمان ترجمه به منزله تأیید یا رد محتوای آن نیست و صرفا جهت آگاهی مخاطبان قدس آنلاین منتشر میشود.
نظر شما