سرقت اطلاعاتی روسها از کاربران مایکروسافت
در این مقاله میخوانید
بهتازگی مایکروسافت فاش کرده که مسئول حملات امنیتی سرقت مدارک و اطلاعات کاربران، یک گروه هکری وابسته به دولت روسیه معروف به Midnight Blizzard است. در همین راستا، تیم اطلاعاتی giant’s threat intelligence گفت: «در این حملات از خدمات پروکسی محلی برای مخفی کردن آدرس IP منبع حملات استفاده شده و دولتها، ارائهدهندگان خدمات فناوری اطلاعات، سازمانهای غیردولتی، دفاعی و بخشهای مهم تولید، مورد هدف قرار گرفتهاند.»
Midnight Blizzard که قبلا با نام نوبلیوم (Nobelium) شناخته میشد، با نامهای APT29 ،Cozy Bear Iron Hemlock و The Dukes نیز شناخته میشود. این گروه که در دسامبر 2020 توجه جهانی را به هک SolarWinds جلب کرد، همچنان در حملات هدفمند خود به وزارتخانههای خارجی و نهادهای دیپلماتیک، به ابزارهای مخفی متکی است.
این موضوع نشان میدهد که این هکرها تا چه حد مصمم هستند که علیرغم افشا شدن هویتشان، عملیات خود را ادامه دهند؛ این کار آنها را به بازیگرانی بسیار قدرتمند در حوزه جاسوسی تبدیل میکند.
تکنیک استفاده شده در این حملات
مایکروسافت در قالب یک رشته توییت در شبکه اجتماعی توییتر گفت: «در این حملات از انواع تکنیکهای اسپری کردن رمز عبور (password spray)، حمله بروت فورس (brute-force) و سرقت رمز استفاده میشود. همچنین هکرهای روسی با استفاده از اهرم جلسات دزدیده شده که احتمالاً از طریق فروش غیرقانونی به دست آمده اند، حملات پخش مجدد را انجام دادهاند تا بتوانند به منابع ابری دسترسی پیدا کنند.»
مایکروسافت همچنین APT29 را بهخاطر استفاده از خدمات پروکسی محلی برای هدایت ترافیک در تلاش برای مخفی کردن اتصالات ایجاد شده با استفاده از اعتبارنامههای به خطر انداخته، مورد انتقاد قرار داد.
سازنده ویندوز گفت: «احتمالا هکرهای روسی برای مدت زمان کوتاهی از آدرسهای IP استفاده میکنند تا بتوانند محدودیتها و اصلاحات را به چالش بکشند. این اتفاق زمانی افتاده که Recorded Future یک کمپین جدید فیشینگ را توسط APT28 تنظیم کرده است. APT28 که از نوامبر 2021 سازمانهای دولتی و نظامی در اوکراین را هدف قرار میدهد، با نامهای مستعار BlueDelt ،Forest Blizzard ،FROZENLAKE ،Iron Twilight و Fancy Bear نیز شناخته میشود.
این حملات امنیتی، به کمک ایمیلهای حاوی لینک انجام شده که از شکافهای امنیتی متعدد در نرمافزار webmail با منبع باز Roundcube (CVE-2020-12641، CVE-2020-35730 و CVE-2021-44026) برای انجام شناسایی و جمعآوری دادهها استفاده میکنند.
وجود یک شکاف امنیتی
در واقع وجود یک شکاف کوچک امنیتی باعث شده تا هکرهای ارتش روسیه بتوانند از بدافزار جاوا اسکریپت استفاده کنند. این بدافزار، ایمیلهای دریافتی افراد مورد نظر را به آدرس ایمیلی که تحت کنترل مهاجمان بوده هدایت کرده و فهرست تماسهای آنها را به هکرها نشان داده است.
یک شرکت امنیت سایبری گفت: «این اتفاق نشاندهنده سطح بالای آمادگی هکرها بود؛ چراکه بهسرعت محتوای خبری را بهعنوان ابزاری برای فریب گیرندگان ایمیل تبدیل کرد.» ایمیلهای فیشینگ حاوی اخبار اوکراین بود که رسانههای معتبر منعکس کرده بودند.
مهمتر از آن، گفته میشود که بهدنبال این حمله امنیتی، مجموعه دیگری از حملات نیز وجود دارد که منجر به بروز آسیب zero-day در (Microsoft Outlook (CVE-2023-23397 میشود. اتفاقی که به گفته مایکروسافت، توسط هکرهای مستقر در روسیه در حملات هدفمند علیه سازمانهای اروپایی به کار گرفته شده است.
خوشبختانه این شکاف امنیتی بهعنوان بخشی از برنامه بهروز رسانی Patch Tuesday بود که در مارس 2023 برطرف شد. این یافتهها نشان میدهد که هکرهای روسی بهطور مداوم برای جمعآوری اطلاعات ارزشمند در مورد نهادهای مختلف در اوکراین و سراسر اروپا، تلاش کردهاند؛ بهویژه پس از تهاجم گستردهای که در فوریه ۲۰۲۲ به اکران داشتهاند.
عملیات جنگ سایبری با هدف قرار دادن اوکراین بهطور قابل توجهی با قرارگیری گسترده بدافزار پاک کننده طراحی شده تا دادههای موجود را از بین ببرد. اتفاقی که به یکی از اولین نمونههای جنگ ترکیبی در مقیاس بزرگ تبدیل شده است.
Recorded Future میگوید: «بلو دلتا به هدف قرار دادن سازمانهای دولتی و بخش خصوصی اوکراین برای حمایت از عملیاتهای نظامی گسترده روسیه ادامه داده و این اقدام را در اولویت خود قرار میدهد.»