استهدف جواسيس الحكومة الروسية أوكرانيا باستخدام أدوات طورها مجرمون إلكترونيون
استهدفت مجموعة قرصنة مدعومة من الحكومة الروسية الجيش الأوكراني باستخدام أدوات وبنية تحتية طورها مجرمون إلكترونيون، وفقًا لبحث جديد.
نشرت شركة مايكروسوفت، يوم الأربعاء، تقريرًا يوضح بالتفصيل حملة قرصنة نفذتها مجموعة تطلق عليها اسم Secret Blizzard، والتي قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) سابقًا إنها “من شبه المؤكد أنها تابعة لمركز خدمة الأمن الفيدرالي الروسي (FSB) 18”. “، والتي تشير إليها شركات الأمن الأخرى باسم Turla.
كتب باحثو مايكروسوفت في التقرير، الذي تمت مشاركته مع TechCrunch قبل النشر، أن Secret Blizzard استخدمت شبكة الروبوتات المعروفة باسم Amadey، والتي يُزعم أنها تباع في منتديات القرصنة الروسية وتم تطويرها من قبل مجموعة مجرمي الإنترنت، لمحاولة اختراق “الأجهزة المرتبطة بالشبكة الأوكرانية”. العسكري” بين مارس/آذار وأبريل/نيسان من هذا العام. وبينما تعترف بأنها لا تزال تحقق في كيفية وصول Secret Blizzard إلى Amadey، تعتقد الشركة أن مجموعة القرصنة إما استخدمت شبكة الروبوتات من خلال الدفع مقابلها كبرامج ضارة كخدمة، أو اختراقها.
وفقًا للتقرير، “تستخدم Secret Blizzard موطئ قدم من أطراف ثالثة – إما عن طريق السرقة أو شراء الوصول بشكل خفي – كوسيلة محددة ومتعمدة لإنشاء موطئ قدم لقيمة التجسس”، في إشارة إلى شبكة Amadey botnet باعتبارها واحدة من تلك الأطراف الثالثة.
كان أحد أهداف المتسللين هو تجنب اكتشافهم. صرح شيرود ديغريبو، مدير استراتيجية استخبارات التهديدات في Microsoft، لـ TechCrunch أن “استخدام أدوات السلع يسمح لممثل التهديد بإخفاء أصله وجعل الإسناد أكثر صعوبة”.
اتصل بنا
هل لديك المزيد من المعلومات حول قراصنة روس يستهدفون أوكرانيا؟ أو غيرها من عمليات التجسس الإلكتروني؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
وفقًا للتقرير، يتم استخدام شبكة الروبوتات Amadey عادةً من قبل مجرمي الإنترنت لتثبيت برنامج تشفير. وقال DeGrippo إن Microsoft واثقة من أن المتسللين الذين يقفون وراء Amadey والذين يقفون وراء Secret Blizzard مختلفون.
وقال DeGrippo لـ TechCrunch: في هذه الحملة، استهدفت Secret Blizzard أجهزة الكمبيوتر المتعلقة بالجيش الأوكراني وحرس الحدود الأوكراني. وقالت مايكروسوفت إن هذه الهجمات الإلكترونية الأخيرة هي “المرة الثانية على الأقل منذ عام 2022 التي تستخدم فيها Secret Blizzard حملة جرائم إلكترونية لتسهيل موطئ قدم لبرامجها الضارة في أوكرانيا”.
ومن المعروف أن Secret Blizzard تستهدف “وزارات الخارجية والسفارات والمكاتب الحكومية وإدارات الدفاع والشركات المرتبطة بالدفاع في جميع أنحاء العالم” مع التركيز على التجسس طويل المدى وجمع المعلومات الاستخبارية، وفقًا لتقرير مايكروسوفت.
في هذه الحالة، تم تصميم نموذج البرامج الضارة Secret Blizzard الذي قامت Microsoft بتحليله لجمع معلومات حول نظام الضحية – مثل اسم الجهاز وبرنامج مكافحة الفيروسات المثبت، إن وجد – كخطوة أولى لنشر برامج ضارة وأدوات أخرى.
ووفقًا لباحثي مايكروسوفت، قامت شركة Secret Blizzard بنشر هذه البرامج الضارة على الأجهزة لتحديد ما إذا كانت الأهداف “ذات أهمية إضافية”. على سبيل المثال، استهدفت Secret Blizzard الأجهزة التي تستخدم Starlink، وهي خدمة الأقمار الصناعية التابعة لشركة SpaceX، والتي استخدمها الجيش الأوكراني في عملياته ضد القوات الروسية الغازية.
وقال DeGrippo إن الشركة واثقة من أن حملة القرصنة هذه قد تم إجراؤها بواسطة Secret Blizzard جزئيًا لأن المتسللين استخدموا أبوابًا خلفية مخصصة تسمى Tavdig وKazuarV2، “لم يتم استخدامها من قبل مجموعات أخرى”.
في الأسبوع الماضي، نشرت Microsoft وشركة Black Lotus Lab الأمنية تقارير أظهرت كيف اختارت Secret Blizzard الأدوات والبنية التحتية لمجموعة قرصنة أخرى تابعة لدولة قومية لأنشطة التجسس منذ عام 2022. وفي هذه الحالة، وفقًا لأبحاث الشركتين ، استولت شركة Secret Blizzard على مجموعة قرصنة مقرها باكستان لأهداف عسكرية واستخباراتية في أفغانستان والهند. في ذلك الوقت، أشارت مايكروسوفت إلى أن Secret Blizzard استخدمت هذه التقنية للاستفادة من أدوات القراصنة الآخرين والبنية التحتية منذ عام 2017، في الحالات التي تورط فيها قراصنة الحكومة الإيرانية ومجموعة قرصنة كازاخستانية، من بين آخرين.
ولم تستجب السفارة الروسية في واشنطن العاصمة، ولا جهاز الأمن الفيدرالي لطلبات التعليق.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
