گروه هکری ColdRiver وابسته به دولت روسیه، با بدافزار تازه‌ای به نام LostKeys، حملات جاسوسی علیه غرب را آغاز کرده است.

به گزارش تکراتو و به نقل از androidheadlines، گوگل اعلام کرده که گروه هکری ColdRiver، که تحت حمایت دولت روسیه فعالیت می‌کند، از بدافزار جدیدی با نام LostKeys برای حملات سایبری و جاسوسی علیه نهادها و سازمان‌های غربی استفاده می‌کند.

این بدافزار از طریق مهندسی اجتماعی و فریب کاربران برای اجرای کدهای مخرب، فایل‌ها و اطلاعات سیستم قربانیان را سرقت می‌کند. این گروه به سازمان امنیت فدرال روسیه (FSB) مرتبط بوده و وزارت خارجه آمریکا برای اطلاعاتی که به شناسایی اعضای آن منجر شود، جایزه‌ای چند میلیون دلاری تعیین کرده است.

بر اساس گزارش گروه اطلاعات تهدید گوگل، بدافزار LostKeys اولین‌بار در ژانویه شناسایی شد. این ابزار در قالب حملاتی با عنوان ClickFix مورد استفاده قرار می‌گیرد؛ حملاتی که بر پایه فریب کاربران برای اجرای اسکریپت‌های مشکوک PowerShell طراحی شده‌اند.

این اسکریپت‌ها مسیر اجرای مراحل بعدی را فراهم کرده و در نهایت منجر به نصب LostKeys می‌شوند. طبق بررسی‌ها، این بدافزار با زبان VBS نوشته شده و وظیفه آن استخراج فایل‌ها، پوشه‌ها و اطلاعات سیستم است. اطلاعات جمع‌آوری‌شده به‌صورت مخفیانه برای مهاجمان ارسال می‌شود.

گروه ColdRiver که گاهی با نام‌هایی مثل Star Blizzard یا Callisto Group نیز شناخته می‌شود، از سال ۲۰۱۷ در حال اجرای عملیات جاسوسی سایبری است.

این گروه با تکیه بر مهارت‌های مهندسی اجتماعی و استفاده از اطلاعات متن‌باز، اهداف مختلفی از جمله نهادهای دولتی، سازمان‌های غیردولتی، سیاستمداران و حتی مراکز صنعتی دفاعی را هدف قرار داده است. حملات آن‌ها پس از حمله روسیه به اوکراین شدت بیشتری یافته و حتی به تأسیسات وزارت انرژی آمریکا نیز رسیده است.

پیش‌تر، کشورهای عضو اتحاد اطلاعاتی Five Eyes از جمله بریتانیا، این گروه را به‌طور مستقیم به سازمان FSB نسبت داده بودند. همچنین ایالات متحده تحریم‌هایی را علیه برخی اعضای این گروه اعمال کرده و برای اطلاعاتی که منجر به شناسایی دیگر اعضا شود، جایزه‌ای ۱۰ میلیون دلاری در نظر گرفته است.

گفتنی است ColdRiver تنها گروهی نیست که از حملات ClickFix استفاده می‌کند. گزارش‌ها حاکی از آن است که گروه‌هایی از کره شمالی (Kimsuky)، ایران (MuddyWater) و دیگر گروه‌های روسی مانند APT28 نیز از روش‌های مشابه در عملیات جاسوسی خود بهره می‌برند.