مخالفان کشور اوکراین از یک فایل پاورپوینت (PowerPoint) تقلبی برای حمله به این کشور استفاده میکنند. این فایل که ظاهرا یک دفترچه راهنمای ارتش آمریکا است، دارای یک باگ امنیتی است که به نرمافزار مخرب “کبالت استرایک” (Cobalt Strike) اجازه نفوذ و هک شدن میدهد. این فایل از یک آسیبپذیری برای اجرای اسکریپتهای مخرب بر روی رایانه قربانی استفاده میکند. این اسکریپتها تلاش میکنند تا در سیستم نفوذ کرده و بدافزارهای اضافی را به عنوان یک کلاینت VPN نصب کنند.
- نوع فایل (PPSX) و محتوای آن (دفترچه راهنمای ارتش ایالات متحده) است.
- این آسیبپذیری به مهاجمان اجازه میدهد تا اسکریپتهای از راه دور را اجرا کنند.
- اسکریپتها سعی میکنند پنهان بمانند و بدافزارهای اضافی نصب کنند.
- یک DLL مخرب ابزار Cobalt Strike Beacon را به حافظه سیستم تزریق میکند و به یک سرور فرمان و کنترل متصل میشود.
- این DLL میتواند از نرمافزار امنیتی عبور کند و از شناسایی در ماشینهای مجازی جلوگیری کند.
این فایل احتمالا از طریق پیامرسان سیگنال (Signal) پخش شده اما هنوز تایید نشده است. این حمله، جدیدترین مورد از حملات سایبری است که از طریق برنامههای پیامرسان و روشهای دیگر، ارتش اوکراین را هدف قرار میدهد.
در تصویر زیر میتوانید روند قدیمی و مراحل هک شدن سیستم های ارتش اوکراین را مشاهده کنید.
این حمله چه کار میکند؟
- این فایل از یک مشکل امنیتی قدیمی (سال ۲۰۱۷) برای اجرای برنامههای مخرب بر روی رایانه قربانی سوءاستفاده میکند.
- این برنامهها سعی میکنند در رایانه پنهان شوند و نرمافزار مخرب دیگری را به عنوان یک نرمافزار ویپیان (VPN) نصب کنند.
هدف از این حمله چیست؟
- هدف و هویت مهاجمین هنوز مشخص نیست. ممکن است حملهای واقعی یا تمرینی برای تیمهای امنیت سایبری باشد.
حملات سایبری دیگر علیه اوکراین:
- گروهی ناشناس با استفاده از لینکهای مخفی در وبسایتهای جعلی، سعی در فریب پرسنل نظامی اوکراین برای کلیک بر روی این لینکها داشتهاند.
- گروه “ساندورم” (Sandworm) که با سازمان اطلاعات نظامی روسیه در ارتباط است، زیرساختهای حیاتی اوکراین را هدف قرار داده است. این گروه از ابزارهای مختلفی برای برهم زدن عملیاتهای حیاتی در اوکراین استفاده میکند.
درباره گروه هکری (Sandworm) ساندورم:
- این گروه از سال ۲۰۰۹ فعال بوده و با جاسوسی، حملات و عملیات روانی به منافع روسیه خدمت میکند.
- آنها از ابزارهای مختلفی از جمله “گاسیپفلو” (GOSSIPFLOW) و “لودگریپ” (LOADGRIP) استفاده میکنند.
- دولت روسیه به دلیل توانایی این گروه در هدف قرار دادن منافع مختلف، آنها را بسیار باارزش میداند.