سرقت اطلاعاتی روس‌ها از کاربران مایکروسافت

به‌تازگی مایکروسافت فاش کرده که مسئول حملات امنیتی سرقت مدارک و اطلاعات کاربران، یک گروه هکری وابسته به دولت روسیه معروف به Midnight Blizzard است. در همین راستا، تیم اطلاعاتی giant‌’s threat intelligence گفت: «در این حملات از خدمات پروکسی محلی برای مخفی کردن آدرس IP منبع حملات استفاده شده و دولت‌ها، ارائه‌دهندگان خدمات فناوری اطلاعات، سازمان‌های غیردولتی، دفاعی و بخش‌های مهم تولید، مورد هدف قرار گرفته‌اند.»

Midnight Blizzard که قبلا با نام نو‌بلیوم (Nobelium) شناخته می‌شد، با نام‌های AP‌T29 ،Cozy Bear Iron Hemlock و The Dukes نیز شناخته می‌شود. این گروه که در دسامبر 2020 توجه جهانی را به هک SolarWinds جلب کرد، همچنان در حملات هدفمند خود به وزارتخانه‌های خارجی و نهادهای دیپلماتیک، به ابزارهای مخفی متکی است.

این موضوع نشان می‌دهد که این هکرها تا چه حد مصمم هستند که علی‌رغم افشا شدن هویتشان، عملیات خود را ادامه دهند؛ این کار آن‌ها را به بازیگرانی بسیار قدرتمند در حوزه جاسوسی تبدیل می‌کند.

تکنیک استفاده شده در این حملات

مایکروسافت در قالب یک رشته توییت در شبکه اجتماعی توییتر گفت: «در این حملات از انواع تکنیک‌های اسپری کردن رمز عبور (password spray)، حمله بروت فورس (brute-force) و سرقت رمز استفاده می‌شود. همچنین هکرهای روسی با استفاده از اهرم جلسات دزدیده شده که احتمالاً از طریق فروش غیرقانونی به دست آمده اند، حملات پخش مجدد را انجام داده‌اند تا بتوانند به منابع ابری دسترسی پیدا کنند.»

مایکروسافت همچنین APT29 را به‌خاطر استفاده از خدمات پروکسی محلی برای هدایت ترافیک در تلاش برای مخفی کردن اتصالات ایجاد شده با استفاده از اعتبارنامه‌های به خطر انداخته، مورد انتقاد قرار داد.

سازنده ویندوز گفت: «احتمالا هکرهای روسی برای مدت زمان کوتاهی از آدرس‌های IP استفاده می‌کنند تا بتوانند محدودیت‌ها و اصلاحات را به چالش بکشند. این اتفاق زمانی افتاده که Recorded Future یک کمپین جدید فیشینگ را توسط APT28 تنظیم کرده است. APT28 که از نوامبر 2021 سازمان‌های دولتی و نظامی در اوکراین را هدف قرار می‌دهد، با نام‌های مستعار BlueDelt ،Forest Blizzard ،FROZENLAKE ،Iron Twilight و Fancy Bear نیز شناخته می‌شود.

این حملات امنیتی، به کمک ایمیل‌های حاوی لینک انجام شده که از شکاف‌های امنیتی متعدد در نرم‌افزار webmail با منبع باز Roundcube (CVE-2020-12641، CVE-2020-35730 و CVE-2021-44026) برای انجام شناسایی و جمع‌آوری داده‌ها استفاده می‌کنند.

وجود یک شکاف امنیتی

در واقع وجود یک شکاف کوچک امنیتی باعث شده تا هکرهای ارتش روسیه بتوانند از بدافزار جاوا اسکریپت استفاده کنند. این بدافزار، ایمیل‌های دریافتی افراد مورد نظر را به آدرس ایمیلی که تحت کنترل مهاجمان بوده هدایت کرده و فهرست تماس‌های آن‌ها را به هکرها نشان داده است.

یک شرکت امنیت سایبری گفت: «این اتفاق نشان‌دهنده سطح بالای آمادگی هکرها بود؛ چراکه به‌سرعت محتوای خبری را به‌عنوان ابزاری برای فریب گیرندگان ایمیل تبدیل کرد.» ایمیل‌های فیشینگ حاوی اخبار اوکراین بود که رسانه‌های معتبر منعکس کرده بودند.

مهم‌تر از آن، گفته می‌شود که به‌دنبال این حمله امنیتی، مجموعه دیگری از حملات نیز وجود دارد که منجر به بروز آسیب zero-day در (Microsoft Outlook (CVE-2023-23397 می‌شود. اتفاقی که به گفته مایکروسافت، توسط هکرهای مستقر در روسیه در حملات هدفمند علیه سازمان‌های اروپایی به کار گرفته شده است.

خوشبختانه این شکاف امنیتی به‌عنوان بخشی از برنامه به‌روز رسانی‌ Patch Tuesday بود که در مارس 2023 برطرف شد. این یافته‌ها نشان می‌دهد که هکرهای روسی به‌طور مداوم برای جمع‌آوری اطلاعات ارزشمند در مورد نهادهای مختلف در اوکراین و سراسر اروپا، تلاش کرده‌اند؛ به‌ویژه پس از تهاجم گسترده‌ای که در فوریه ۲۰۲۲ به اکران داشته‌اند.

عملیات جنگ سایبری با هدف قرار دادن اوکراین به‌طور قابل توجهی با قرارگیری گسترده بدافزار پاک کننده طراحی شده تا داده‌های موجود را از بین ببرد. اتفاقی که به یکی از اولین نمونه‌های جنگ ترکیبی در مقیاس بزرگ تبدیل شده است.

Recorded Future می‌گوید: «بلو دلتا به هدف قرار دادن سازمان‌های دولتی و بخش خصوصی اوکراین برای حمایت از عملیات‌های نظامی گسترده‌ روسیه ادامه داده و این اقدام را در اولویت خود قرار می‌دهد.»