المخابرات الروسية تستهدف الضحايا في جميع أنحاء العالم في الهجمات الإلكترونية السريعة

يقوم قراصنة الدولة الروس بتنفيذ حملات تصيد احتيالي مستهدفة في تسع دول على الأقل منتشرة عبر أربع قارات. تروج رسائل البريد الإلكتروني الخاصة بهم للأعمال الحكومية الرسمية، وإذا نجحت، فإنها لا تهدد البيانات التنظيمية الحساسة فحسب، بل تهدد أيضًا الاستخبارات الجيوسياسية ذات الأهمية الاستراتيجية.

مثل هذه المؤامرة المعقدة والمتعددة الجوانب لا يمكن تنفيذها إلا من قبل مجموعة غزيرة الإنتاج مثل الدب الهوى (ويعرف أيضًا باسم APT28، وForest Blizzard، وFrozenlake، وSofacy Group، وStrontium، وUAC-028، والعديد من الأسماء المستعارة الأخرى)، والتي يتتبعها IBM X-Force باسم ITG05 في تقرير جديد.

إلى جانب الإغراءات المقنعة ذات الطابع الحكومي وثلاثة أنواع جديدة من الأبواب الخلفية المخصصة، تبرز الحملة أكثر من غيرها من حيث المعلومات التي تستهدفها: يبدو أن Fancy Bear تهدف إلى الحصول على معلومات محددة للغاية لاستخدامها من قبل الحكومة الروسية.

إغراءات التصيد الحكومي

استخدمت Fancy Bear ما لا يقل عن 11 إغراءًا فريدًا في الحملات التي تستهدف المنظمات في الأرجنتين وأوكرانيا وجورجيا وبيلاروسيا وكازاخستان وبولندا وأرمينيا وأذربيجان والولايات المتحدة.

تبدو الإغراءات وكأنها وثائق رسمية مرتبطة بالحكومات الدولية، تغطي موضوعات واسعة مثل التمويل، والبنية التحتية الحيوية، والالتزامات التنفيذية، والأمن السيبراني، والأمن البحري، والرعاية الصحية، والإنتاج الصناعي الدفاعي.

بعض هذه الوثائق مشروعة ويمكن الوصول إليها بشكل عام. ومن المثير للاهتمام أن البعض الآخر يبدو أنه داخلي بالنسبة لوكالات حكومية محددة، مما يثير التساؤل حول كيفية سيطرة Fancy Bear عليهم في المقام الأول.

"ليس لدى X-Force نظرة ثاقبة حول ما إذا كان ITG05 قد نجح في اختراق المؤسسات المنتحلة"، تشير كلير زابويفا، صائدة التهديدات في IBM X-Force. "نظرًا لاحتمال قيام ITG05 بالاستفادة من الوصول غير المصرح به لجمع المستندات الداخلية، فقد قمنا بإخطار جميع الأطراف المقلدة بالنشاط قبل النشر كجزء من سياسة الإفصاح المسؤول لدينا."

وبدلاً من ذلك، ربما قام Fancy Bear/ITGO5 بتقليد ملفات حقيقية فقط. وقالت: "على سبيل المثال، تحتوي بعض الوثائق التي تم الكشف عنها على أخطاء ملحوظة مثل الأخطاء الإملائية في أسماء الأطراف الرئيسية فيما يبدو أنها عقود حكومية رسمية".

الدافع المحتمل؟

ميزة أخرى مهمة لهذه السحر هي أنها محددة تمامًا.

تتضمن أمثلة اللغة الإنجليزية ورقة سياسة الأمن السيبراني من منظمة غير حكومية جورجية، وخط سير رحلة يناير الذي يعرض تفاصيل اجتماع وتمرين Bell Buoy (XBB2024) لعام 24 للمشاركين في مجموعة عمل الشحن في المحيط الهادئ والمحيط الهندي (PACIOSWG) التابعة للبحرية الأمريكية.

وهناك الإغراءات المتعلقة بالتمويل: وثيقة بيلاروسية تحتوي على توصيات لخلق الظروف التجارية لتسهيل المشاريع المشتركة بين الدول بحلول عام 2025، بما يتماشى مع مبادرة الاتحاد الاقتصادي الأوراسي، ووثيقة سياسة الميزانية لوزارة الاقتصاد الأرجنتينية التي تقدم "مبادئ توجيهية استراتيجية" لمساعدة الدول الأعضاء في الاتحاد الأوروبي. الرئيس مع السياسة الاقتصادية الوطنية، وأكثر على هذا المنوال.

وقالت X-Force في تقريرها عن الحملة: "من المحتمل أن يكون جمع المعلومات الحساسة المتعلقة بمخاوف الميزانية والوضع الأمني ​​للكيانات العالمية هدفًا ذا أولوية عالية نظرًا لمساحة مهمة ITG05 المحددة".

على سبيل المثال، رفضت الأرجنتين مؤخرًا دعوة للانضمام إلى المنظمة التجارية لمجموعة البريكس (البرازيل وروسيا والهند والصين وجنوب أفريقيا)، لذلك "من الممكن أن يسعى فريق التكنولوجيا المتكاملة (ITG05) إلى الوصول إلى المعلومات التي قد تعطي نظرة ثاقبة لأولويات الحكومة الأرجنتينية". "، قال اكس فورس.

نشاط ما بعد الاستغلال

إلى جانب التحديد ومظهر الشرعية، يستخدم المهاجمون خدعة نفسية أخرى للإيقاع بالضحايا: تقديمهم في البداية بنسخة غير واضحة من الوثيقة. كما هو الحال في الصورة أدناه، يمكن للمستلمين رؤية ما يكفي من التفاصيل للتأكد من أن هذه المستندات تبدو رسمية ومهمة، ولكن ليس بما يكفي لتجنب الاضطرار إلى النقر عليها.

عينة من وثيقة الإغراء؛ المصدر: آي بي إم

عندما يقوم الضحايا في المواقع التي يسيطر عليها المهاجمون بالنقر فوق لعرض مستندات الإغراء، يقومون بتنزيل باب خلفي من لغة بايثون يسمى "Masepie". تم اكتشافه لأول مرة في ديسمبر، وهو قادر على تثبيت الثبات على جهاز يعمل بنظام Windows، وتمكين تنزيل الملفات وتحميلها وتنفيذ الأوامر التعسفية.

أحد الملفات التي يقوم Masepie بتنزيلها على الأجهزة المصابة هو "Oceanmap"، وهي أداة تعتمد على C# لتنفيذ الأوامر عبر بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP). يحتوي الإصدار الأصلي لـ Oceanmap - وليس المستخدم هنا - على وظيفة سرقة المعلومات والتي تم حذفها ونقلها منذ ذلك الحين إلى "Steelhook"، وهي الحمولة الأخرى التي تم تنزيلها بواسطة Masepie والمرتبطة بهذه الحملة.

Steelhook هو برنامج PowerShell النصي الذي تتمثل مهمته في استخراج البيانات من Google Chrome وMicrosoft Edge عبر خطاف الويب.

والأكثر بروزًا من برامجها الضارة هو سرعة العمل التي يتمتع بها برنامج Fancy Bear. مثل وصف لأول مرة بواسطة فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA)، يصاب Fancy Bear بالساعة الأولى من الهبوط على جهاز الضحية، ويقوم بتنزيل الأبواب الخلفية وإجراء الاستطلاع والحركة الجانبية عبر تجزئات NTLMv2 المسروقة لهجمات الترحيل.

لذا، يحتاج الضحايا المحتملون إلى التصرف بسرعة، أو الأفضل من ذلك، الاستعداد مسبقًا للإصابة بالعدوى. ويمكنهم القيام بذلك عن طريق اتباع قائمة توصيات الغسيل الخاصة بشركة IBM: مراقبة رسائل البريد الإلكتروني التي تحتوي على عناوين URL التي يقدمها موفر استضافة Fancy Bear، FirstCloudIT، وحركة مرور IMAP المشبوهة إلى خوادم غير معروفة، ومعالجة نقاط الضعف المفضلة لديها - مثل CVE-2024-21413، وCVE-2024. -21410، CVE-2023-23397، CVE-2023-35636 - وأكثر من ذلك بكثير.

وخلص الباحثون إلى أن "ITG05 سيستمر في الاستفادة من الهجمات ضد حكومات العالم وأجهزتها السياسية لتزويد روسيا برؤية متقدمة حول قرارات السياسة الناشئة".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks