تعرضت الوكالات الحكومية للهجوم إما من قبل مجموعتين من المتسللين ، أو من قبل مجموعة واحدة تضم عدة وحدات.
سلسلة من الهجمات الإلكترونية على السلطات الروسية في عام 2020 كان من الممكن أن تكون نفذتها عدة مجموعات قراصنة بتمويل من الحكومة الصينية.
يقدم تقرير جديد صادر عن شركة Group-IB لأمن المعلومات تحليلاً مفصلاً لبرامج Webdav-O الضارة المستخدمة في الهجمات. ووفقًا للتقرير ، فإن البرنامج الضار لديه الكثير من القواسم المشتركة مع BlueTraveller Trojan المرتبط بمجموعة المجرمين الإلكترونيين الصينيين TaskMasters ويستخدم في عمليات التجسس الإلكتروني التي تهدف إلى سرقة الوثائق السرية.
وفقًا لمؤلفي التقرير ، فإن مجموعات APT الصينية هي من بين أكثر مجموعات المجرمين الإلكترونيين عدوانية وعدوانية في العالم. في أغلب الأحيان ، يهاجمون الإدارات الحكومية والمؤسسات الصناعية والمقاولين العسكريين ومعاهد البحث. الهدف الرئيسي للمتسللين هو التجسس - حيث يتمكن المهاجمون من الوصول إلى البيانات السرية ويحاولون إخفاء وجودهم على شبكات الضحية لأطول فترة ممكنة.
يستند تقرير Group-IB إلى العديد من الحوادث التي تم الكشف عنها علنًا في مايو من قبل Solar JSOC و SentinelOne . تحدثت الشركتان عن البرامج الضارة Mail-O المستخدمة في الهجمات على رؤساء الوكالات الحكومية الروسية من أجل الوصول إلى حساباتهم في خدمات Mail.ru. قام SentinelOne بربط هذه البرامج الضارة ببرامج ضارة أخرى معروفة من PhantomNet / SManager من ترسانة مجموعة TA428.
يصف التقرير الجديد نموذج Webdav-O الذي تم تحميله إلى VirusTotal في نوفمبر 2019 ولديه الكثير من القواسم المشتركة مع العينة التي وصفها Solar JSOC. ومع ذلك ، فإن إصدار البرنامج الضار المعروض في التقرير هو إصدار أحدث مرتجل جزئيًا بوظائف جديدة. هذه البرامج الضارة لها أيضًا أوجه تشابه مع BlueTraveller Trojan. على وجه الخصوص ، تم العثور على الكثير من الأمور المشتركة في التعليمات البرمجية المصدر وآليات معالجة الأوامر لكل من البرامج الضارة.
أظهر تحليل مفصل لمجموعة أدوات TA428 أن لدى BlueTraveller الكثير من القواسم المشتركة مع البرامج الضارة Albaniiutas ، والتي تم تصنيفها في ترسانة المجموعة في ديسمبر 2020. بمعنى آخر ، كل من Albaniiutas و Webdav-O هما إصدارات محدثة من BlueTraveller.
"من الجدير بالذكر أن مجموعات القراصنة الصينيين تتبادل بنشاط الأدوات والبنية التحتية ، وربما هذا هو الحال. وأوضح الباحثون أن هذا يعني أنه يمكن تكوين أحد أحصنة طروادة وتعديلها بواسطة قراصنة من مجموعات مختلفة بمستويات مختلفة من التدريب ومتابعة أهداف مختلفة.
وفقًا للخبراء ، تعرضت الوكالات الحكومية الروسية للهجوم في عام 2020 إما من قبل مجموعتين ، TA428 و TaskMasters ، أو من قبل مجموعة واحدة تضم عدة وحدات.
0 تعليقات