روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فعالیت‌های هکتیویستی و گروه‌های APT با انگیزه‌های ژئوپولیتیکی تهدیدی جدی برای بسیاری از مناطق جهان به حساب می‌آید. این گروه‌ها با آسیب به زیرساخت‌ها و عملکردهای مهم دولت‌ها، کسب‌وکارها و جامعه، تهدیدهای قابل توجهی ایجاد کرده‌اند. اواخر سال 2022 پیش‌بینی کردیم که مشارکت گروه‌های هکتیویستی در تمام درگیری‌های ژئوپولیتیکی از این پس بیشتر خواهد شد و این روند را در سال‌های اخیر مشاهده کرده‌ایم. در خصوص جنگ اوکراین و روسیه، شاهد افزایش چشمگیر فعالیت‌های گروه‌هایی بودیم که خود را طرفدار اوکراین یا طرفدار روسیه معرفی می‌کنند. رشد جرایم سایبری در بحبوحه تنش‌های ژئوپولیتیکی نگران‌کننده است. تیم اطلاعات تهدید کسپرسکی تاکنون چندین بازیگر تهدید با انگیزه‌های ژئوپولیتیکی و گروه‌های هکتیویستی را در مناطق مختلف درگیر در بحران‌ها شناسایی کرده است. با جمع‌آوری و تحلیل داده‌های گسترده در مورد تاکتیک‌ها، تکنیک‌ها و روش‌های (TTP)  این گروه‌ها، روند نگران‌کننده‌ای را کشف کردیم: هکتیویست‌ها به طور فزاینده‌ای با گروه‌های مالی‌محرک ارتباط دارند. آنها ابزارها، زیرساخت‌ها و منابع خود را به اشتراک می‌گذارند.

این همکاری پیامدهای جدی دارد. کمپین‌های آنها می‌توانند نه تنها عملیات‌های تجاری را مختل کنند بلکه زندگی روزمره مردم را تحت تأثیر قرار دهند و از خدمات بانکی گرفته تا امنیت داده‌های شخصی و عملکرد سیستم بهداشت و درمان را تهدید کنند. علاوه بر این، تکنیک‌های سودآور می‌توانند به سرعت گسترش یابند زیرا بازیگران سودجو در سراسر جهان آنها را کپی کرده و بهبود می‌بخشند. ما این یافته‌های فنی را منبعی ارزشمند برای تلاش‌های جهانی در زمینه امنیت سایبری می‌دانیم. هدف اصلی این مقاله ارائه شواهد فنی است که نظریه‌مان را که بر اساس تحقیقات قبلی شکل گرفته است، پشتیبانی کند: بیشتر گروه‌هایی که در اینجا توضیح داده‌ایم، به طور فعال همکاری می‌کنند و به طور مؤثر سه خوشه تهدیدی عمده را تشکیل می‌دهند.

مقاله‌ی امروز ما شامل موارد زیر می‌شود:

•          یک کتابخانه از گروه‌های تهدید، به‌روزرسانی‌شده برای سال 2025، با جزئیات تاکتیک‌ها، تکنیک‌ها و ابزارهای اصلی آنها.
•          شرح فنی از تاکتیک‌ها، تکنیک‌ها، روش‌ها و ابزارهایی که توسط این گروه‌ها استفاده می‌شود. این اطلاعات برای استفاده عملی توسط تیم‌های SOC، DFIR، CTI  و حرفه‌ای‌های شکار تهدید مفید خواهد بود.

آنچه در این مقاله قرار است پوشش داده شود

این گزارش اطلاعاتی در مورد TTPهای هکتیویست‌ها و گروه‌های APT که در حال هدف‌گیری سازمان‌های روسی به ویژه در سال 2025 هستند، شامل می‌شود. اما این گروه‌ها فقط به روسیه محدود نمی‌شوند. تحقیقات بیشتر نشان داد که برخی از اهداف گروه‌ها، مانند CloudAtlas و XDSpy، دارایی‌هایی در کشورهای اروپایی، آسیایی و خاورمیانه داشته‌اند. به ویژه، ردپاهای آلودگی در سال 2024 در اسلواکی و صربستان کشف شد. این گزارش گروه‌هایی که در سال 2025 ظهور کرده‌اند را شامل نمی‌شود، زیرا زمان کافی برای تحقیق در مورد فعالیت‌های آنها نداشتیم. گروه‌ها به سه خوشه اصلی بر اساسTTPهای آنها تقسیم شده‌اند:

خوشه اول ترکیبی از گروه‌های هکتیویستی و دوهدفه است که از تاکتیک‌ها، تکنیک‌ها و ابزارهای مشابه استفاده می‌کنند. این خوشه با ویژگی‌هایی چون زیرساخت مشترک، مجموعه نرم‌افزاری منحصر به فرد، فرآیندها، خطوط فرمان، و دایرکتوری‌های یکسانTTPهای متمایز شناخته می‌شود. خوشه دوم دربردارنده‌ی گروه‌های APT است کهTTPهای متفاوتی از هکتیویست‌ها دارند. می‌توان گروه‌های APT را به دو دسته تقسیم کرد: APTهای ساده که از ابزارهای طرف‌سوم، اسکریپت‌هایی برای اجرای منطق مخرب، ثبت‌کنندگان دامنه مشترک و سیستم‌های پروکسی معکوس برای پنهان‌سازی زیرساخت واقعی خود استفاده می‌کنند و APTهای پیشرفته‌تر که دارای TTPهای منحصر به فرد هستند. خوشه سوم شامل گروه‌های هکتیویستی می‌شوند که نشانه‌هایی از همکاری با گروه‌های دیگر نشان نداده‌اند.

نمونه: چشم‌انداز تهدید سایبری در روسیه در سال 2025

هکتیویسم همچنان تهدید اصلی برای کسب‌وکارهای روسی و کسب‌وکارهای سایر مناطق درگیر در بحران‌هاست و مقیاس و پیچیدگی این حملات همچنان در حال افزایش است. اصطلاح "هکتیویسم" به طور سنتی به ترکیبی از هک و فعال‌گرایی اشاره دارد، جایی که مهاجمان از مهارت‌های خود برای دستیابی به اهداف اجتماعی یا سیاسی استفاده می‌کنند. طی سال‌های اخیر، این بازیگران تهدیدی بیشتر باتجربه و سازمان‌یافته شده‌اند، با یکدیگر همکاری می‌کنند و دانش و ابزارهای خود را برای دستیابی به اهداف مشترک به اشتراک می‌گذارند. علاوه بر این، پدیده‌ای جدید به نام "گروه‌های دوهدفه" در چشم‌انداز تهدید روسیه ظهور کرده است. ارتباطاتی بین هکتیویست‌ها و گروه‌های مالی‌محرک شناسایی شده است. آنها از همان ابزارها، تکنیک‌ها و تاکتیک‌ها استفاده کرده و حتی زیرساخت‌ها و منابع مشترک دارند. بسته به هدف خود، آنها ممکن است به دنبال اهداف مختلفی باشند: درخواست فدیۀ برای رمزگشایی داده‌ها، ایجاد آسیب جبران‌ناپذیر، یا انتشار داده‌های دزدیده شده در رسانه‌ها. این نشان می‌دهد که این مهاجمان به یک خوشه پیچیده و واحد تعلق دارند. علاوه بر این، گروه‌های "سنتی" مهاجمان نیز در روسیه و دیگر مناطق همچنان فعال هستند: گروه‌هایی که در زمینه جاسوسی سایبری و تهدیدات مالی خالص فعالیت دارند نیز همچنان یک مشکل عمده به شمار می‌آیند. مانند دیگر گروه‌ها، گروه‌های ژئوپولیتیکی به عنوان مجرمان سایبری فعالیت می‌کنند که امنیت و اعتماد به استفاده از فرصت‌های دیجیتال را تضعیف می‌کنند و می‌توانند با توجه به تحولات سیاسی، مناطق هدف خود را تغییر دهند. به همین دلیل، آگاهی ازTTPهای مورد استفاده توسط بازیگرانی که به نظر می‌رسد به اهداف دیگر حمله می‌کنند، مهم است. ما به نظارت بر بازیگران تهدید ژئوپولیتیکی ادامه خواهیم داد و گزارش‌های فنی در مورد TTPهای آنها منتشر خواهیم کرد.

توصیه‌های امنیتی

برای دفاع در برابر تهدیدهای شرح داده شده در این گزارش، توصیه ما به شما این است که:

•          تیم‌های SOC خود را از اطلاعات به‌روز در مورد تاکتیک‌ها، تکنیک‌ها و روش‌های اخیر مهاجمان بهره‌مند سازید. استفاده از فیدهای اطلاعات تهدید از تأمین‌کنندگان معتبر مانندهوش تهدید کسپرسکی در این زمینه کمک‌کننده خواهد بود.
•          از راهکار امنیتی جامع استفاده کنید که نظارت و تحلیل متمرکز، شناسایی و پاسخ پیشرفته به تهدیدهای و ابزارهای تحقیق در رخدادهای امنیتی را ترکیب کند. پلت‌فرم Kaspersky NEXT XDR برای کسب‌وکارهای متوسط و بزرگ در هر صنعتی مناسب است.
•          تمام اجزای سیستم‌های اتوماسیون صنعتی مدرن و قدیمی را با راهکارهای امنیتی OT تخصصی محافظت کنید. Kaspersky Industrial CyberSecurity  یا به اختصار KICS یک پلت‌فرم کلاس XDR  است که لایه حفاظتیِ قابل اعتمادی را برای زیرساخت‌های حیاتی در صنایع انرژی، تولید، معدن و حمل‌ونقل فراهم می‌کند.
•          آموزش‌های منظم امنیت سایبری برای کارکنان برگزار کنید تا احتمال حملات فیشینگ و دیگر حملات مهندسی اجتماعی کاهش یابد. پلت‌فرم آموزش امنیت خودکار کسپرسکی گزینه مناسبی برای این منظور است.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.