به گفته محققان، مجرمان سایبری که اوکراین را هدف قرار دادند، در واقع هکرهای دولتی روسیه هستند

برای سال ها، روسی هکرهای دولتی از چندین شخصیت ساختگی استفاده کرده اند تا ردپای خود را پنهان کنند و سعی کرده اند محققان امنیتی و سازمان های دولتی را فریب دهند تا تقصیر را در جهت اشتباه قرار دهند.

آنها وقتی کمیته ملی دموکراتیک را هک کردند وانمود کردند که یک هکریست رومانیایی به نام Guccifer 2.0 هستند. یک بدافزار مخرب را راه‌اندازی کرد که شبیه باج‌افزار معمولی است. مخفی شدن در سرورهای مورد استفاده توسط یک گروه هک ایرانی؛ ادعا کرد که یک گروه هکر اسلامگرا به نام خلیفه سایبری است. بازی‌های المپیک زمستانی 2018 را هک کرد و خرده‌های سوخاری که به کره شمالی و چین اشاره داشت. و شواهد نادرست در اسناد منتشر شده به عنوان یک عملیات هک و نشت که ظاهراً توسط یک گروه هکریست به نام Cyber ​​Berkut انجام شده است.

اکنون، محققان امنیتی ادعا می کنند که پرچم جدید دروغین دولت روسیه را پیدا کرده اند.

به گفته محققان امنیتی بلک بری، گروه جرایم سایبری معروف به باج‌افزار کوبا، که قبلاً با یک بدافزار به نام RomCom RAT مرتبط بود، اصلاً یک گروه جرایم سایبری نیست. به گفته محققان، این در واقع گروهی است که برای دولت روسیه کار می کند و واحدهای نظامی اوکراین و دولت های محلی را هدف قرار می دهد.

دیمیتری بستوزف، مدیر ارشد تیم اطلاعاتی تهدیدات سایبری بلک بری، با اشاره به پیوندهای بین RomCom RAT و کوبا، گفت: «این یک انتساب گمراه کننده است. او گفت: “به نظر می رسد که این فقط یک واحد دیگر است که برای دولت روسیه کار می کند.”

سفارت روسیه در واشنگتن دی سی به درخواست برای اظهار نظر پاسخ نداد.

RomCom RAT یک تروجان دسترسی از راه دور است که برای اولین بار توسط واحد 42، گروه تحقیقاتی امنیتی Palo Alto Networks، در می 2022 کشف شد. محققان امنیتی این شرکت این بدافزار را به باند کوبا مرتبط کردند که از باج افزار علیه اهداف در بخش “خدمات مالی” استفاده کرده است. طبق گزارش آژانس امنیت سایبری ایالات متحده CISA، امکانات دولتی، مراقبت های بهداشتی و بهداشت عمومی، تولید حیاتی و فناوری اطلاعات.

این نام از خود این گروه گرفته شده است که از تصاویر فیدل کاستو و چه گوارا در وب سایت تاریک خود استفاده کردند، اگرچه هیچ محققی تاکنون هیچ مدرکی مبنی بر ارتباط این گروه با کشور جزیره ای پیدا نکرده است.

گزارش شده است که RomCom RAT از نسخه های جعلی برنامه های محبوب برای هدف قرار دادن قربانیان خود استفاده کرده است، مانند مدیر رمز عبور KeePass، ابزار مدیریت فناوری اطلاعات SolarWinds، Advanced IP Scanner و Adobe Acrobat reader. طبق گفته Bestuzhev و همکارانش، RomCom RAT طی چند ماه گذشته واحدهای نظامی اوکراین، سازمان‌های دولتی محلی و پارلمان اوکراین را نیز هدف قرار داده است.

Bestuzhev توضیح داد که نتیجه گیری آنها فقط بر اساس اهداف نیست، بلکه بر اساس زمان عملیات هکرها نیز است.

تیم او به مدت یک سال گروه را ردیابی کرده و مسیر آن را از طریق اینترنت دنبال کرده است. به عنوان بخشی از تحقیقات خود، محققان هکرها را مشاهده کردند که از گواهی‌های دیجیتال مختلف برای ثبت دامنه‌های جعلی استفاده می‌کردند که برای نصب بدافزار در اهداف استفاده می‌کردند.

در یک مورد، محققان شاهد بودند که هکرها در 23 مارس، یک هفته قبل از سخنرانی رئیس جمهور اوکراین ولودیمیر زلنسکی در پارلمان اتریش از طریق تماس ویدیویی، یک گواهی دیجیتال ارائه شده توسط اتریش برای امضای یک وب سایت بمب گذاری شده ایجاد کردند.

بارهای دیگر نیز همین الگو اتفاق افتاد. هنگامی که هکرهای RomCom RAT در نوامبر 2022 از وب سایت SolarWinds تقلید کردند، تقریباً زمانی بود که نیروهای اوکراینی وارد شهر محاصره شده Kherson شدند. زمانی که هکرها از اسکنر IP پیشرفته در جولای 2022 تقلید کردند، درست زمانی بود که اوکراین شروع به استقرار موشک های HIMARS کرد که توسط دولت ایالات متحده تامین می شد. و سپس در مارس 2023، هکرها از Remote Desktop Manager در زمانی که خلبانان اوکراینی برای پرواز با جت های جنگنده F-16 آموزش می دیدند تقلید کردند و لهستان و اسلواکی تصمیم گرفتند فناوری نظامی را در اختیار اوکراین قرار دهند.

بستوزف گفت: «بنابراین هر بار که یک رویداد بزرگ اتفاق می‌افتد، مانند اتفاق بزرگی در ژئوپلیتیک، و به‌ویژه در زمینه نظامی، RomCom RAT دقیقاً همان جا بود.

با این حال، سایر محققان امنیتی و همچنین خود دولت اوکراین هنوز کاملاً متقاعد نشده اند که RomCom RAT و Cuba Ransomware در واقع هکرهای دولت روسیه هستند.

دوئل سانتوس، محقق ارشد در واحد 42 شبکه پالو آلتو، گفت که گروهی که در پشت بدافزار RomCom RAT قرار دارد، به دلیل استفاده از ابزارهای سفارشی، «پیچیده‌تر از گروه‌های باج‌افزار سنتی» است.

“واحد 42 فعالیت هایی را که اوکراین را هدف قرار داده است، دیده است. سانتوس به TechCrunch گفت. با این حال، ما از میزان آن رابطه اطلاعی نداریم. این خارج از فعالیت های عادی یک گروه باج افزار است.”

با این حال، سانتوس اضافه کرد، “برخی از گروه ها برای دریافت کار اضافی مهتاب می گیرند – ممکن است این چیزی باشد که در این مورد می بینیم.”

Bestuzhev گفت که او و تیمش این احتمال را در نظر گرفته اند اما بر اساس تداوم هکرها، زمان و اهداف حملات که نشان می دهد هدف واقعی آنها جاسوسی است و نه جنایت، آن را کنار گذاشته اند.

سخنگوی سرویس ارتباطات ویژه دولتی اوکراین، یا SSSCIP، گفت که یکی از عملیات RomCom RAT در اوکراین، کاربران یک نرم‌افزار آگاهی از موقعیت خاص به نام DELTA را هدف قرار داده است و «با توجه به بدافزار مورد نظر و مورد استفاده، می‌توان فرض کرد که هدف جمع آوری اطلاعات از ارتش اوکراین بود.

یک سخنگوی SSSCIP افزود: «اما شواهد کافی برای ارتباط آن با روسیه وجود ندارد (به جز این واقعیت که روسیه علاقه‌مندترین دولت به چنین اطلاعاتی است).

مارک کارایان، سخنگوی تیم‌های اطلاعاتی تهدید گوگل که گروه هکری را ردیابی می‌کنند، گفت: «تیم ما نمی‌تواند با اطمینان این یافته‌ها را بدون مشاهده تأیید یا رد کند. [BlackBerry's] تحقیق کامل.”

Bestuzhev گفت که گروه او قصد ندارد تمام جزئیات فنی یافته های خود را منتشر کند تا دست خود را به هکرهای RomCom RAT نشان ندهد و از تغییر استراتژی ها و تکنیک های آنها جلوگیری کند. Bestuzhev توضیح داد که به این ترتیب آنها می توانند هکرها را ردیابی کنند و ببینند که در مرحله بعد چه می کنند.

هیئت منصفه هنوز در مورد اینکه واقعاً پشت RomCom RAT و Cuba Ransomware است، صحبت نمی کند، اما Bestuzhev و محققان دیگر شرکت ها همچنان گروه را زیر نظر خواهند داشت.

«آن بچه‌ها، فرض کنید، می‌دانند که ما می‌دانیم. ما همدیگر را دوست داریم. و بنابراین مثل یک رابطه طولانی مدت است.» بستوزف با خنده گفت.

آیا اطلاعات بیشتری در مورد این گروه هکری دارید؟ یا سایر گروه های هکری که در جنگ اوکراین شرکت داشتند؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم. می‌توانید با Lorenzo Franceschi-Bicchierai به‌طور ایمن از طریق Signal به شماره 1 917 257 1382 +1 یا از طریق Wickr، Telegram and Wire @lorenzofb یا ایمیل lorenzo@techcrunch.com تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.