گروه هکری روس Turla و بدافزار StockStay ؛ تهدید تازه برای اوکراین

بدافزار StockStay؛ بازوی جدید گروه باسابقه Turla برای جاسوسی در اروپا

گروه هکری باسابقه Turla (که با نام‌های Secret Blizzard و Venomous Bear نیز شناخته می‌شود و به اداره امنیت فدرال روسیه یا همان FSB متصل است)، طبق گزارش گوگل، بیش از سه سال را صرف توسعه یک سویه بدافزار کمتر شناخته‌شده به نام StockStay کرده است. این بدافزار که فرآیند توسعه فعال آن حداقل از دسامبر ۲۰۲۲ آغاز شده، وظیفه جاسوسی از سازمان‌های دولتی و نظامی اوکراین را بر عهده دارد. کارشناسان گوگل نمونه‌های اولیه این بدافزار را در زیرساخت‌های کشورهای ایتالیا، هلند، لهستان و آلمان نیز ردیابی کرده‌اند.

تحلیل کدهای StockStay نشان می‌دهد که این ابزار شباهت ساختاری بسیار بالایی با بدافزار قدیمی‌تر این گروه یعنی Kazuar دارد. گوگل در بیانیه‌ای اعلام کرد: «این گروه در حال سرمایه‌گذاری روی اکوسیستم‌های بدافزاری موازی و پشتیبان است تا در صورت کشف و پاک‌سازی یک ابزار، دسترسی مخفی و پایدار آن‌ها به شبکه‌های هدف قطع نشود». بدافزار StockStay در ابتدا خود را به عنوان یک اپلیکیشن بازار سهام جا می‌زد، اما اخیراً در پوشش نرم‌افزارهای محبوبی مانند ماشین‌حساب و پی‌دی‌اف خوان (PDF) ظاهر شده است. قربانیان معمولاً از طریق ایمیل‌های فیشینگ حاوی فایل‌های پیکربندی مخرب پروتکل ریموت دسکتاپ(RDP)  آلوده می‌شوند.

همکاری FBI و اوکراین در کشف شبکه هک حساب‌های پیام‌رسان

در جبهه‌ای دیگر، بر اساس بیانیه‌ای که سرویس امنیت اوکراین (SBU) منتشر کرده است، این سرویس با همکاری پلیس فدرال آمریکا (FBI)، از یک کمپین طولانی‌مدت دستگاه‌های اطلاعاتی روسیه برای نفوذ به حساب‌های پیام‌رسان مقامات دولتی، پرسنل نظامی، سیاست‌مداران و فعالان در اوکراین، اروپا و ایالات متحده پرده برداشته است. هدف اصلی این کمپین، سرقت داده‌های شخصی و دسترسی به تبادلات حساس نظامی، اقتصادی و سیاسی در پلتفرم‌های ارتباطی بوده است.

نکته جالب اینجاست که هکرها به جای اکسپلویت و بهره‌برداری از آسیب‌پذیری‌های فنی خودِ اپلیکیشن‌ها، کاملاً بر تکنیک‌های مهندسی اجتماعی تکیه کرده‌اند. در این روش، مهاجمان با ارسال پیام‌های متنی و جا زدن خود به عنوان «پشتیبانی رسمی پلتفرم»، کاربران را فریب می‌دهند تا اطلاعات کاربری یا کدهای تایید یک‌بارمصرف (PIN) خود را لو بدهند. SBU در بیانیه‌ی خود به یک نکته‌ی روانی ظریف اشاره کرده است: «این پیام‌های فیشینگ عمدتاً در ساعات اولیه صبح ارسال می‌شوند؛ یعنی زمانی که کاربران به دلیل وضعیت جسمانی و روانی پس از بیداری، در برابر فریب‌کاری بیشترین آسیب‌پذیری را دارند». این هشدار پس از آن صادر شد که سازمان‌های اطلاعاتی هلند نیز درباره کمپین گسترده روسیه برای هک حساب‌های سیگنال (Signal)  و واتس‌اپ مقامات غربی هشدار داده بودند.

منابع و مراجع گزارش: این گزارش بر اساس مستندات فنی منتشر شده توسط تیم تحلیل تهدیدات گوگل (GTIG) در وبلاگ رسمی Google Cloud، گزارش Recorded Future News درباره‌ی بیانیه رسمی سرویس امنیت اوکراین (SBU) و مستندات مشترک FBI تنظیم شده است.

دیدگاه تحلیلی نویسنده (اتاق تحلیل اخبار رسانه ۲۴ نیوز | بهراد یوسفی):

هم‌پوشانی این دو گزارش، استراتژی دوگانه و بسیار هوشمندانه سرویس اطلاعاتی روسیه (FSB) را در پلتفرم‌های جنگ الکترونیک عیان می‌کند. در حوزه زیرساخت‌های ثابت سازمانی، گروه Turla با درک این موضوع که ابزارهای امنیتی و ادوات پدافندی (مانند EDRها) به سرعت امضاهای بدافزارهای قدیمی مثل Kazuar  را شناسایی می‌کنند، به سمت توسعه بدافزارهای موازی و دگرگون‌شونده مثل StockStay حرکت کرده است. استفاده از بستر RDP و تم‌های آکادمیک/دیپلماتیک نشان می‌دهد مهاجمان روی نقاط کور دسترسی‌های از راه دور حساب ویژه‌ای باز کرده‌اند.

اما در سوی دیگر، روس‌ها به درستی درک کرده‌اند که سد امنیتی پیام‌رسان‌های رمزنگاری‌شده نقطه‌به‌نقطه(End-to-End Encrypted)  مانند سیگنال و واتس‌اپ به صورت فنی و از طریق شبکه به راحتی قابل شکستن نیست. بنابراین، آن‌ها محور حمله را از «رایانه» به «روان کاربر» تغییر داده‌اند. ترفند ارسال پیام فیشینگ در لایه زمانی صبحگاهی (ساعت آسیب‌پذیری بیولوژیک انسان)، نشان‌دهنده ورود علوم شناختی و روان‌شناختی به مهندسی اجتماعی مدرن است. اینجاست که باز هم دکترین پدافند سنتی شکست می‌خورد؛ وقتی هکر یاد می‌گیرد از خستگی مفرط یک افسر نظامی در ساعت ۶ صبح برای ربودن کد تایید سیگنال استفاده کند، هیچ پروتکل رمزنگاری ریاضیاتی نمی‌تواند جلوی نشت اطلاعات را بگیرد. جنگ سایبری مدرن، ترکیبی تفکیک‌ناپذیر از کدهای باینری مخفی و بهره‌برداری از ضعف‌های رفتاری انسان است.