بررسیهای تازه پژوهشگران امنیت سایبری نشان میدهد که یک گروه هکری منتسب به پاکستان با اجرای یک عملیات پیچیده سایبری، وزارت مالیه طالبان و شماری از نهادهای مالی و اداری طالبان را هدف قرار داده است؛ عملیاتی که از طریق ایمیلهای فیشینگ و بدافزارهای پیشرفته برای نفوذ به سیستمهای دولتی انجام شده است.
پژوهشگران امنیت سایبری از شناسایی یک کارزار گسترده هکری خبر دادهاند که در آن وزارت مالیه طالبان و شماری از نهادهای دولتی افغانستان هدف حملات سایبری قرار گرفتهاند. بر اساس یافتههای منتشرشده، این عملیات به گروه هکری موسوم به «ساید کاپی» نسبت داده شده است؛ گروهی که کارشناسان آن را مرتبط با مجموعه بزرگتر «ترنسپرنت ترایب» یا «APT36» میدانند.
طبق این گزارش، مهاجمان برای نفوذ به سیستمهای مورد نظر از روشهای فیشینگ استفاده کردهاند. این عملیات با ارسال ایمیلهایی آغاز میشود که حاوی فایلهای فشرده آلوده هستند. در داخل این فایلها، یک فایل میانبر مخرب با نامی به زبان پشتو قرار داده شده که پس از اجرا، بدافزار را روی سیستم قربانی فعال میکند.
کارشناسان امنیت سایبری معتقدند استفاده از زبان پشتو در فایلهای ارسالی نشان میدهد که طراحان این حمله شناخت قابل توجهی از ساختار اداری و محیط کاری نهادهای تحت اداره طالبان داشتهاند و اهداف خود را با دقت انتخاب کردهاند.
بر اساس اطلاعات منتشرشده، اهداف این عملیات تنها به وزارت مالیه طالبان محدود نبوده است. ادارههای مالی و درآمدی در سطح ولایات، مقامهای دولتی پشتوزبان و کارمندان بخشهای مختلف حکومت محلی نیز در فهرست اهداف این کارزار سایبری قرار داشتهاند.
بدافزار مورد استفاده در این حمله از نوع ابزارهای دسترسی از راه دور است و امکانات گستردهای را در اختیار مهاجمان قرار میدهد. این ابزار قادر است کلیدهای فشردهشده توسط کاربر را ثبت کند، از صفحه نمایش عکس بگیرد، به وبکم و میکروفون دستگاه دسترسی پیدا کند و اطلاعات ذخیرهشده در سیستم را به سرقت ببرد.
علاوه بر این، بدافزار میتواند ارتباطات مخفیانهای با سرورهای تحت کنترل مهاجمان برقرار کند و دادههای جمعآوریشده را بدون اطلاع کاربر به خارج از شبکه منتقل سازد. به گفته کارشناسان، یکی از ویژگیهای مهم این بدافزار توانایی آن در حفظ حضور طولانیمدت در سیستمهای آلوده است.
گزارشها نشان میدهد این بدافزار برای پنهان ماندن از دید کاربران و نرمافزارهای امنیتی، خود را بهعنوان مرورگر «مایکروسافت اِج» معرفی میکند. همچنین از طریق ایجاد تغییرات در رجیستری ویندوز، امکان اجرای خودکار پس از روشن شدن سیستم را فراهم میسازد و به این ترتیب دسترسی خود را حفظ میکند.
متخصصان امنیت سایبری گروه ساید کاپی را یکی از زیرمجموعههای فعال شبکه هکری «ترنسپرنت ترایب» میدانند؛ گروهی که طی سالهای گذشته بارها در حملات سایبری علیه اهداف دولتی، نظامی و امنیتی در منطقه جنوب آسیا، بهویژه هند، متهم شده است.
انتشار این گزارش در حالی صورت میگیرد که اخیراً حملات مشابهی نیز علیه زیرساختهای نظامی هند شناسایی شده است. در آن حملات نیز از فایلهای آلودهای استفاده شده بود که از طریق ایمیل یا پیامرسانهایی مانند واتساپ برای قربانیان ارسال میشد.
کارشناسان توضیح میدهند که در چنین حملاتی، بدافزار پس از باز شدن فایل آلوده روی دستگاه قربانی نصب میشود و سپس با سرورهای تحت کنترل مهاجمان ارتباط برقرار میکند. پس از برقراری این ارتباط، هکرها قادر خواهند بود به بخشهای مختلف سیستم دسترسی پیدا کنند و بسیاری از فعالیتها را از راه دور مدیریت کنند.
در این شرایط، مهاجمان میتوانند همانند فردی که پشت رایانه نشسته است به فایلها و اسناد دسترسی داشته باشند، برنامههای مختلف را اجرا کنند، دادههای حساس را سرقت نمایند و حتی فعالیتهای روزمره کاربران را بهصورت کامل زیر نظر بگیرند.
کارشناسان امنیتی هشدار دادهاند که افزایش اینگونه حملات نشاندهنده رشد تهدیدات سایبری علیه نهادهای دولتی در منطقه است و ضرورت تقویت زیرساختهای امنیت دیجیتال، آموزش کارکنان و افزایش آگاهی درباره خطرات ایمیلهای فیشینگ را بیش از پیش برجسته میسازد.
