استهدفت مجموعة قرصنة مدعومة من الحكومة الروسية الجيش الأوكراني باستخدام أدوات وبنية تحتية طورها مجرمون إلكترونيون، وفقًا لبحث جديد.
يوم الاربعاء، نشرت شركة مايكروسوفت تقريرا تفاصيل حملة قرصنة نفذتها مجموعة تسميها Secret Blizzard، وهي وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). قال سابقا “يكاد يكون من المؤكد أنه تابع لجهاز الأمن الفيدرالي الروسي (FSB) المركز 18″، والذي تشير إليه شركات الأمن الأخرى باسم تورلا.
كتب باحثو مايكروسوفت في التقرير، الذي تمت مشاركته مع TechCrunch قبل النشر، أن Secret Blizzard استخدمت شبكة الروبوتات المعروفة باسم Amadey، والتي يُزعم أنه تم بيعه في منتديات القرصنة الروسية والتي طورتها مجموعة إجرامية إلكترونية، لمحاولة اختراق “الأجهزة المرتبطة بالجيش الأوكراني” بين مارس وأبريل من هذا العام. وبينما تعترف بأنها لا تزال تحقق في كيفية وصول Secret Blizzard إلى Amadey، تعتقد الشركة أن مجموعة القرصنة إما استخدمت شبكة الروبوتات من خلال الدفع مقابلها كبرامج ضارة كخدمة، أو اختراقها.
وفقًا للتقرير، “تستخدم Secret Blizzard موطئ قدم من أطراف ثالثة – إما عن طريق السرقة أو شراء الوصول بشكل خفي – كوسيلة محددة ومتعمدة لإنشاء موطئ قدم لقيمة التجسس”، في إشارة إلى شبكة Amadey botnet باعتبارها واحدة من تلك الأطراف الثالثة.
كان أحد أهداف المتسللين هو تجنب اكتشافهم. صرح شيرود ديغريبو، مدير استراتيجية استخبارات التهديدات في Microsoft، لـ TechCrunch أن “استخدام أدوات السلع يسمح لممثل التهديد بإخفاء أصله وجعل الإسناد أكثر صعوبة”.
اتصل بنا
هل لديك المزيد من المعلومات حول قراصنة روس يستهدفون أوكرانيا؟ أو غيرها من عمليات التجسس الإلكتروني؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
وفقًا للتقرير، يتم استخدام شبكة الروبوتات Amadey عادةً من قبل مجرمي الإنترنت لتثبيت برنامج تشفير. وقال DeGrippo إن Microsoft واثقة من أن المتسللين الذين يقفون وراء Amadey والذين يقفون وراء Secret Blizzard مختلفون.
وقال DeGrippo لـ TechCrunch: في هذه الحملة، استهدفت Secret Blizzard أجهزة الكمبيوتر المتعلقة بالجيش الأوكراني وحرس الحدود الأوكراني. وقالت مايكروسوفت إن هذه الهجمات الإلكترونية الأخيرة هي “المرة الثانية على الأقل منذ عام 2022 التي تستخدم فيها Secret Blizzard حملة جرائم إلكترونية لتسهيل موطئ قدم لبرامجها الضارة في أوكرانيا”.
ومن المعروف أن Secret Blizzard تستهدف “وزارات الخارجية والسفارات والمكاتب الحكومية وإدارات الدفاع والشركات المرتبطة بالدفاع في جميع أنحاء العالم” مع التركيز على التجسس طويل المدى وجمع المعلومات الاستخبارية، وفقًا لتقرير مايكروسوفت.
في هذه الحالة، تم تصميم نموذج البرامج الضارة Secret Blizzard الذي قامت Microsoft بتحليله لجمع معلومات حول نظام الضحية – مثل اسم الجهاز وبرنامج مكافحة الفيروسات المثبت، إن وجد – كخطوة أولى لنشر برامج ضارة وأدوات أخرى.
ووفقًا لباحثي مايكروسوفت، قامت شركة Secret Blizzard بنشر هذه البرامج الضارة على الأجهزة لتحديد ما إذا كانت الأهداف “ذات أهمية إضافية”. على سبيل المثال، استهدفت Secret Blizzard الأجهزة التي تستخدم Starlink، وهي خدمة الأقمار الصناعية التابعة لشركة SpaceX، والتي استخدمها الجيش الأوكراني في عملياته ضد القوات الروسية الغازية.
وقال DeGrippo إن الشركة واثقة من أن حملة القرصنة هذه قد تم إجراؤها بواسطة Secret Blizzard جزئيًا لأن المتسللين استخدموا أبوابًا خلفية مخصصة تسمى Tavdig وKazuarV2، “لم يتم استخدامها من قبل مجموعات أخرى”.
الأسبوع الماضي، مايكروسوفت وشركة أمنية مختبر اللوتس الأسود نشرت تقارير أظهرت كيف اختارت Secret Blizzard الأدوات والبنية التحتية لمجموعة قرصنة أخرى تابعة لدولة قومية لأنشطتها التجسسية منذ عام 2022. في هذه الحالة، وفقًا لبحث الشركتين، استفادت Secret Blizzard من مجموعة قرصنة مقرها باكستان. مجموعة لأهداف عسكرية واستخباراتية في أفغانستان والهند. في ذلك الوقت، أشارت مايكروسوفت إلى أن Secret Blizzard استخدمت هذه التقنية للاستفادة من أدوات القراصنة الآخرين والبنية التحتية منذ عام 2017، في الحالات التي تورط فيها قراصنة الحكومة الإيرانية ومجموعة قرصنة كازاخستانية، من بين آخرين.
ولم تستجب السفارة الروسية في واشنطن العاصمة، ولا جهاز الأمن الفيدرالي لطلبات التعليق.
