وكالة الأمن القومي ومكتب التحقيقات الفيدرالي يكشفان عن طرق القرصنة التي يستخدمها قراصنة الجيش الروس

 تصدرت المخابرات العسكرية الروسية حملة تخمين هجوم Brute-Force Attack مستمرة تستهدف البيئات السحابية للمؤسسات منذ منتصف عام 2019 ، وفقًا لما نشرته وكالات الاستخبارات في المملكة المتحدة والولايات المتحدة.

عزت وكالة الأمن القومي (NSA) ، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، ومكتب التحقيقات الفيدرالي (FBI) ، والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) رسميًا عمليات التوغل إلى إدارة المخابرات الرئيسية للأركان العامة الروسية (GRU) مركز الخدمة الخاصة الرئيسي (GTsSS).

التهديدات جائت من القاب مختلفة منها: APT28 (FireEye Mandiant)  يتوهم الدب (CrowdStrike)  Sofacy (كاسبرسكي)  السترونتيوم (مايكروسوفت)  و الشفق الحديد (سيكيور).

يتمتع APT28 بسجل حافل في الاستفادة من كلمات المرور التي تم الكشف عنها من انظمة مختلفة ومحاولات تسجيل الدخول باستخدام التخمين Brute Force Attack لسرقة بيانات اعتماد صالحة تتيح عمليات المراقبة أو التسلل في المستقبل. في نوفمبر 2020 ، كشفت ميكروسوف عن أنشطة جمع أوراق الاعتماد التي نظمها الهكرز والتي تستهدف الشركات المشاركة في البحث عن لقاحات وعلاجات كورونا COVID-19.

قالت وكالة الأمن السيبراني وأمن البنية التحتية CISA : "تستخدم الحملة مجموعة Kubernetes في محاولات الوصول باستخدام تخمين بيانات تسجيل الدخول ضد المؤسسات والبيئات السحابية لأهداف الحكومة والقطاع الخاص في جميع أنحاء العالم" . "بعد الحصول على بيانات الاعتماد عن طريق التخمين ، تستخدم مركز الخدمة الخاصة الرئيسي GTsSS مجموعة متنوعة من نقاط الضعف (ثغرات) المعروفة لمزيد من الوصول إلى الشبكة عبر تنفيذ التعليمات البرمجية عن بُعد."

تتضمن بعض الثغرات الأمنية الأخرى التي استغلها الهكر APT28 لاختراق المؤسسات والوصول إلى خوادم البريد الإلكتروني الداخلية :

  • CVE-2020-0688 - ثغرة أمنية في تنفيذ مفتاح التحقق من صحة Microsoft Exchange عن بُعد
  • CVE-2020-17144 - ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Microsoft Exchange

يُقال أيضًا أن الهكر قد استخدم تقنيات مراوغة مختلفة في محاولة لإخفاء بعض مكونات عملياته ، بما في ذلك توجيه محاولات المصادقة بالتخمين من خلال Tor وخدمات VPN التجارية ، مثل CactusVPN و IPVanish و NordVPN و ProtonVPN و Surfshark و WorldVPN.

قالت الوكالات إن الهجمات ركزت في المقام الأول على الولايات المتحدة وأوروبا ، واستهدفت الحكومة والجيش ومقاولي الدفاع وشركات الطاقة والتعليم العالي وشركات الخدمات اللوجستية وشركات المحاماة وشركات الإعلام والمستشارين السياسيين أو الأحزاب السياسية ومراكز الفكر.

وأشارت إلى أن "مديري الشبكات يجب أن يتبنوا ويوسعوا استخدام المصادقة متعددة العوامل للمساعدة في مواجهة هذه الاختراقات. اضافة عوامل الحماية الإضافية لضمان ضوابط الوصول القوية من ميزات تسجيل الخروج تلقائيا ومنع تكرار التخمين ، والاستخدام الإلزامي لكلمات مرور قوية ، وتنفيذ نموذج أمان الثقة الصفرية zero trust الذي يستخدم سمات إضافية عند تحديد الوصول ، والتحليلات لاكتشاف عمليات الوصول غير العادية."

 

وجدت هذه المقالة مثيرة للاهتمام؟  شاركها مع اصدقائك .. لا تنسى متابعتي على  منصات التواصل الاجتماعي..