روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ فعالیتهای هکتیویستی و گروههای APT با انگیزههای ژئوپولیتیکی تهدیدی جدی برای بسیاری از مناطق جهان به حساب میآید. این گروهها با آسیب به زیرساختها و عملکردهای مهم دولتها، کسبوکارها و جامعه، تهدیدهای قابل توجهی ایجاد کردهاند. اواخر سال 2022 پیشبینی کردیم که مشارکت گروههای هکتیویستی در تمام درگیریهای ژئوپولیتیکی از این پس بیشتر خواهد شد و این روند را در سالهای اخیر مشاهده کردهایم. در خصوص جنگ اوکراین و روسیه، شاهد افزایش چشمگیر فعالیتهای گروههایی بودیم که خود را طرفدار اوکراین یا طرفدار روسیه معرفی میکنند. رشد جرایم سایبری در بحبوحه تنشهای ژئوپولیتیکی نگرانکننده است. تیم اطلاعات تهدید کسپرسکی تاکنون چندین بازیگر تهدید با انگیزههای ژئوپولیتیکی و گروههای هکتیویستی را در مناطق مختلف درگیر در بحرانها شناسایی کرده است. با جمعآوری و تحلیل دادههای گسترده در مورد تاکتیکها، تکنیکها و روشهای (TTP) این گروهها، روند نگرانکنندهای را کشف کردیم: هکتیویستها به طور فزایندهای با گروههای مالیمحرک ارتباط دارند. آنها ابزارها، زیرساختها و منابع خود را به اشتراک میگذارند.
این همکاری پیامدهای جدی دارد. کمپینهای آنها میتوانند نه تنها عملیاتهای تجاری را مختل کنند بلکه زندگی روزمره مردم را تحت تأثیر قرار دهند و از خدمات بانکی گرفته تا امنیت دادههای شخصی و عملکرد سیستم بهداشت و درمان را تهدید کنند. علاوه بر این، تکنیکهای سودآور میتوانند به سرعت گسترش یابند زیرا بازیگران سودجو در سراسر جهان آنها را کپی کرده و بهبود میبخشند. ما این یافتههای فنی را منبعی ارزشمند برای تلاشهای جهانی در زمینه امنیت سایبری میدانیم. هدف اصلی این مقاله ارائه شواهد فنی است که نظریهمان را که بر اساس تحقیقات قبلی شکل گرفته است، پشتیبانی کند: بیشتر گروههایی که در اینجا توضیح دادهایم، به طور فعال همکاری میکنند و به طور مؤثر سه خوشه تهدیدی عمده را تشکیل میدهند.
مقالهی امروز ما شامل موارد زیر میشود:
- یک کتابخانه از گروههای تهدید، بهروزرسانیشده برای سال 2025، با جزئیات تاکتیکها، تکنیکها و ابزارهای اصلی آنها.
- شرح فنی از تاکتیکها، تکنیکها، روشها و ابزارهایی که توسط این گروهها استفاده میشود. این اطلاعات برای استفاده عملی توسط تیمهای SOC، DFIR، CTI و حرفهایهای شکار تهدید مفید خواهد بود.
آنچه در این مقاله قرار است پوشش داده شود
این گزارش اطلاعاتی در مورد TTPهای هکتیویستها و گروههای APT که در حال هدفگیری سازمانهای روسی به ویژه در سال 2025 هستند، شامل میشود. اما این گروهها فقط به روسیه محدود نمیشوند. تحقیقات بیشتر نشان داد که برخی از اهداف گروهها، مانند CloudAtlas و XDSpy، داراییهایی در کشورهای اروپایی، آسیایی و خاورمیانه داشتهاند. به ویژه، ردپاهای آلودگی در سال 2024 در اسلواکی و صربستان کشف شد. این گزارش گروههایی که در سال 2025 ظهور کردهاند را شامل نمیشود، زیرا زمان کافی برای تحقیق در مورد فعالیتهای آنها نداشتیم. گروهها به سه خوشه اصلی بر اساسTTPهای آنها تقسیم شدهاند:
خوشه اول ترکیبی از گروههای هکتیویستی و دوهدفه است که از تاکتیکها، تکنیکها و ابزارهای مشابه استفاده میکنند. این خوشه با ویژگیهایی چون زیرساخت مشترک، مجموعه نرمافزاری منحصر به فرد، فرآیندها، خطوط فرمان، و دایرکتوریهای یکسانTTPهای متمایز شناخته میشود. خوشه دوم دربردارندهی گروههای APT است کهTTPهای متفاوتی از هکتیویستها دارند. میتوان گروههای APT را به دو دسته تقسیم کرد: APTهای ساده که از ابزارهای طرفسوم، اسکریپتهایی برای اجرای منطق مخرب، ثبتکنندگان دامنه مشترک و سیستمهای پروکسی معکوس برای پنهانسازی زیرساخت واقعی خود استفاده میکنند و APTهای پیشرفتهتر که دارای TTPهای منحصر به فرد هستند. خوشه سوم شامل گروههای هکتیویستی میشوند که نشانههایی از همکاری با گروههای دیگر نشان ندادهاند.
نمونه: چشمانداز تهدید سایبری در روسیه در سال 2025
هکتیویسم همچنان تهدید اصلی برای کسبوکارهای روسی و کسبوکارهای سایر مناطق درگیر در بحرانهاست و مقیاس و پیچیدگی این حملات همچنان در حال افزایش است. اصطلاح "هکتیویسم" به طور سنتی به ترکیبی از هک و فعالگرایی اشاره دارد، جایی که مهاجمان از مهارتهای خود برای دستیابی به اهداف اجتماعی یا سیاسی استفاده میکنند. طی سالهای اخیر، این بازیگران تهدیدی بیشتر باتجربه و سازمانیافته شدهاند، با یکدیگر همکاری میکنند و دانش و ابزارهای خود را برای دستیابی به اهداف مشترک به اشتراک میگذارند. علاوه بر این، پدیدهای جدید به نام "گروههای دوهدفه" در چشمانداز تهدید روسیه ظهور کرده است. ارتباطاتی بین هکتیویستها و گروههای مالیمحرک شناسایی شده است. آنها از همان ابزارها، تکنیکها و تاکتیکها استفاده کرده و حتی زیرساختها و منابع مشترک دارند. بسته به هدف خود، آنها ممکن است به دنبال اهداف مختلفی باشند: درخواست فدیۀ برای رمزگشایی دادهها، ایجاد آسیب جبرانناپذیر، یا انتشار دادههای دزدیده شده در رسانهها. این نشان میدهد که این مهاجمان به یک خوشه پیچیده و واحد تعلق دارند. علاوه بر این، گروههای "سنتی" مهاجمان نیز در روسیه و دیگر مناطق همچنان فعال هستند: گروههایی که در زمینه جاسوسی سایبری و تهدیدات مالی خالص فعالیت دارند نیز همچنان یک مشکل عمده به شمار میآیند. مانند دیگر گروهها، گروههای ژئوپولیتیکی به عنوان مجرمان سایبری فعالیت میکنند که امنیت و اعتماد به استفاده از فرصتهای دیجیتال را تضعیف میکنند و میتوانند با توجه به تحولات سیاسی، مناطق هدف خود را تغییر دهند. به همین دلیل، آگاهی ازTTPهای مورد استفاده توسط بازیگرانی که به نظر میرسد به اهداف دیگر حمله میکنند، مهم است. ما به نظارت بر بازیگران تهدید ژئوپولیتیکی ادامه خواهیم داد و گزارشهای فنی در مورد TTPهای آنها منتشر خواهیم کرد.
توصیههای امنیتی
برای دفاع در برابر تهدیدهای شرح داده شده در این گزارش، توصیه ما به شما این است که:
- تیمهای SOC خود را از اطلاعات بهروز در مورد تاکتیکها، تکنیکها و روشهای اخیر مهاجمان بهرهمند سازید. استفاده از فیدهای اطلاعات تهدید از تأمینکنندگان معتبر مانندهوش تهدید کسپرسکی در این زمینه کمککننده خواهد بود.
- از راهکار امنیتی جامع استفاده کنید که نظارت و تحلیل متمرکز، شناسایی و پاسخ پیشرفته به تهدیدهای و ابزارهای تحقیق در رخدادهای امنیتی را ترکیب کند. پلتفرم Kaspersky NEXT XDR برای کسبوکارهای متوسط و بزرگ در هر صنعتی مناسب است.
- تمام اجزای سیستمهای اتوماسیون صنعتی مدرن و قدیمی را با راهکارهای امنیتی OT تخصصی محافظت کنید. Kaspersky Industrial CyberSecurity یا به اختصار KICS یک پلتفرم کلاس XDR است که لایه حفاظتیِ قابل اعتمادی را برای زیرساختهای حیاتی در صنایع انرژی، تولید، معدن و حملونقل فراهم میکند.
- آموزشهای منظم امنیت سایبری برای کارکنان برگزار کنید تا احتمال حملات فیشینگ و دیگر حملات مهندسی اجتماعی کاهش یابد. پلتفرم آموزش امنیت خودکار کسپرسکی گزینه مناسبی برای این منظور است.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.