پژوهشگران امنیت سایبری از شناسایی یک حمله سایبری علیه وزارت مالیه طالبان خبر دادهاند که به احتمال زیاد از سوی یک گروه هکری منتسب به پاکستان انجام شده است. این گروه سایبری با نام «ساید کاپی» از طریق بدافزار، دسترسی از راه دور و ایمیلهای فیشینگ حاوی فایلهای فشرده به زبان پشتو، نهادهای وابسته به طالبان را هدف قرار داده است.
بر اساس این گزارش، این عملیات با ارسال ایمیلهای فریبنده آغاز میشود که در آن فایلهای فشردهای قرار دارد و داخل آن یک فایل میانبر مخرب با نامی به زبان پشتو دیده میشود. استفاده از زبان پشتو در این فایلها نشان میدهد مهاجمان با ساختار و محیط اداری نهادهای هدف آشنایی داشتهاند.
گزارشها میافزاید که اهداف این حمله تنها به وزارت مالیه محدود نبوده و شامل ادارات مالی و درآمدی در سطح ولایتها، مقامهای دولتی پشتوزبان و کارکنان محلی دولت نیز شده است.
این بدافزار قابلیتهایی همچون ثبت کلیدهای فشردهشده، ضبط تصویر از صفحه نمایش، دسترسی به وبکم و میکروفون، سرقت اطلاعات و ایجاد ارتباط مخفی با سرورهای کنترل را در اختیار مهاجمان قرار میدهد.
همچنین این بدافزار با تقلید از مرورگر مایکروسافت اج، از طریق رجیستری ویندوز در سیستم باقی میماند و امکان حذف آن را دشوارتر میسازد.
کارشناسان امنیت سایبری، گروه «ساید کاپی» را بخشی از مجموعه بزرگتر «ترنسپرنت ترایب» یا «ایپیتی ۳۶» میدانند که پیشتر نیز در حملات سایبری علیه اهدافی در جنوب آسیا، بهویژه هند، نقش داشته است.
در گزارشهای جداگانه آمده است که اخیراً کمپین مشابهی نیز علیه زیرساختهای نظامی هند شناسایی شده است.
در این نوع حملات، فایلهای آلوده معمولاً در قالب اسناد عادی یا از طریق پیامرسانهایی مانند واتساپ ارسال میشوند و پس از اجرا، بدافزار روی سیستم نصب شده و با سرور مهاجم ارتباط برقرار میکند.
کارشناسان میگویند در چنین شرایطی مهاجمان میتوانند مانند کاربر عادی به سیستم دسترسی کامل داشته باشند، فایلها را مشاهده و سرقت کنند، برنامهها را اجرا کنند و فعالیتهای کاربر را بهطور کامل زیر نظر بگیرند.
نویسنده:سلیمه آریایی
