FBI و CISA كشف التكتيكات المستخدمة من قبل قراصنة المخابرات الروسية

نشرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ووزارة الأمن الداخلي (DHS) ومكتب التحقيقات الفيدرالي (FBI) يوم الاثنين تقريرًا استشاريًا مشتركًا جديدًا كجزء من محاولاتهم الأخيرة لفضح التكتيكات والتقنيات والإجراءات. (TTPs) التي اعتمدتها المخابرات الخارجية الروسية (SVR) في هجماتها التي تستهدف الولايات المتحدة والكيانات الأجنبية. قالت وكالات الاستخبارات ، من خلال توظيف "تقنيات التسلل الخفية داخل الشبكات المخترقة" ، " إن نشاط SVR - الذي يتضمن حل سلسلة التوريد الأخيرة لـ SolarWinds Orion - يستهدف بشكل أساسي الشبكات الحكومية ومؤسسات الفكر وتحليل السياسات وشركات تكنولوجيا المعلومات ويسعى إلى جمع معلومات استخبارية ". مدقق كلمة المرور يتم أيضًا تعقب الممثل السيبراني تحت ألقاب مختلفة ، بما في ذلك Advanced Persistent Threat 29 (APT29) و Dukes و CozyBear و Yttrium. يأتي هذا التطور في الوقت الذي فرضت فيه الولايات المتحدة عقوبات على روسيا وربطت رسميًا اختراق SolarWinds وحملة التجسس الإلكتروني ذات الصلة بالعملاء الحكوميين الذين يعملون لصالح SVR. تم ربط APT29 ، منذ ظهوره على ساحة التهديدات في عام 2013 ، بعدد من الهجمات المدبرة بهدف الوصول إلى شبكات الضحايا ، والتنقل داخل بيئات الضحايا دون أن يتم اكتشافها ، واستخراج المعلومات الحساسة. ولكن في تحول ملحوظ في التكتيكات في عام 2018 ، انتقل الممثل من نشر البرامج الضارة على الشبكات المستهدفة إلى ضرب خدمات البريد الإلكتروني المستندة إلى السحابة ، وهي حقيقة حملها هجوم SolarWinds ، حيث استفاد الممثل من ثنائيات Orion كمتجه اختراق لاستغلال Microsoft Office 365 البيئات. يقال إن هذا التشابه في التجارة ما بعد العدوى مع الهجمات الأخرى التي ترعاها SVR ، بما في ذلك الطريقة التي تحرك بها الخصم بشكل جانبي عبر الشبكات للوصول إلى حسابات البريد الإلكتروني ، قد لعب دورًا كبيرًا في عزو حملة SolarWinds إلى جهاز المخابرات الروسي. ، على الرغم من الاختلاف الملحوظ في الطريقة المستخدمة للحصول على موطئ قدم أولي. أشارت الوكالة إلى أن "استهداف موارد السحابة من المحتمل أن يقلل من احتمالية الكشف عن طريق استخدام الحسابات المخترقة أو التهيئة الخاطئة للنظام لتندمج مع حركة المرور العادية أو غير الخاضعة للرقابة في بيئة لا يتم الدفاع عنها بشكل جيد أو مراقبتها أو فهمها من قبل المنظمات الضحايا". من بين بعض التكتيكات الأخرى التي تستخدمها APT29 ، رش كلمة المرور (لوحظ خلال حل وسط عام 2018 لشبكة كبيرة غير مسماة) ، واستغلال عيوب اليوم صفر ضد أجهزة الشبكة الخاصة الافتراضية (مثل CVE-2019-19781 ) للحصول على الوصول إلى الشبكة ، ونشر برنامج Golang ضار يسمى WELLMESS لنهب الملكية الفكرية من العديد من المنظمات المشاركة في تطوير لقاح COVID-19. إلى جانب CVE-2019-19781 ، من المعروف أن ممثل التهديد اكتسب موطئ قدم أولي في الأجهزة والشبكات الضحية من خلال الاستفادة من CVE-2018-13379 و CVE-2019-9670 و CVE-2019-11510 و CVE-2020-4006 . يوجد أيضًا في هذا المزيج ممارسة الحصول على خوادم افتراضية خاصة عبر هويات وهمية وعملات مشفرة ، والاعتماد على أرقام هواتف VoIP المؤقتة وحسابات البريد الإلكتروني من خلال الاستفادة من خدمة بريد إلكتروني مجهولة تسمى cock.li. وجاء في الاستشارة أن "مكتب التحقيقات الفيدرالي ووزارة الأمن الوطني يوصيان مزودي الخدمة بتعزيز أنظمة التحقق من صحة المستخدم والتحقق منه لمنع إساءة استخدام خدماتهم" ، بينما حثوا الشركات أيضًا على تأمين شبكاتهم من اختراق البرامج الموثوقة. وجدت هذه المقالة مثيرة للاهتمام؟ تابع THN على Facebook و Twitterو LinkedIn لقراءة المزيد من المحتوى الحصري الذي ننشره.