.webp)
تعرضت الكيانات الحكومية الأوكرانية للاختراق في هجمات مستهدفة بعد أن تم اختراق شبكاتها لأول مرة عبر ملفات ISO ذات طروادة متظاهرة بأنها مثبتات Windows 10 شرعية.
قدمت أدوات التثبيت الضارة برامج ضارة قادرة على جمع البيانات من أجهزة الكمبيوتر المعرضة للخطر ، ونشر أدوات ضارة إضافية ، واستخراج البيانات المسروقة إلى الخوادم التي يتحكم فيها المهاجمون.
تمت استضافة إحدى ملفات ISO التي تم دفعها في هذه الحملة على موقع toloka [.] لمتعقب التورنت الأوكراني بواسطة مستخدم تم إنشاؤه في مايو 2022.
وقالت شركة الأمن السيبراني Mandiant التي اكتشفت الهجمات يوم الخميس : "تم تكوين ISO لتعطيل التتبع الأمني النموذجي الذي يرسله كمبيوتر يعمل بنظام Windows إلى Microsoft ويمنع التحديثات التلقائية والتحقق من الترخيص" .
"لم يكن هناك ما يشير إلى وجود دافع مالي لعمليات الاقتحام ، سواء من خلال سرقة المعلومات التي يمكن تحقيق الدخل منها أو نشر برامج الفدية أو أدوات التشفير."
أثناء تحليل العديد من الأجهزة المصابة على شبكات الحكومة الأوكرانية ، اكتشف Mandiant أيضًا المهام المجدولة التي تم إعدادها في منتصف يوليو 2022 ومصممة لتلقي الأوامر التي سيتم تنفيذها عبر PowerShell.
بعد الاستطلاع الأولي ، قام المهاجمون أيضًا بنشر أبواب خلفية Stowaway و Beacon و Sparepart والتي سمحت لهم بالحفاظ على الوصول إلى أجهزة الكمبيوتر المعرضة للخطر وتنفيذ الأوامر ونقل الملفات وسرقة المعلومات ، بما في ذلك بيانات الاعتماد وضربات المفاتيح.
تم توزيع Windows 10 ISOs عبر منصات مشاركة ملفات التورنت باللغتين الأوكرانية والروسية ، على عكس الهجمات المماثلة حيث تستضيف مجموعات التجسس الإلكتروني حمولات على بنيتها التحتية.
بينما ضرب هجوم سلسلة التوريد هذا الحكومة الأوكرانية ، تم توفير ملفات Windows ISO الضارة من خلال السيول
وأضاف مانديانت: "نحن نقدر أن الفاعل قام بتوزيع أدوات التثبيت هذه علنًا ، ثم استخدم مهمة جدولية مضمنة لتحديد ما إذا كان يجب نشر حمولات إضافية للضحية".
في حين أن برامج تثبيت Windows 10 الخبيثة لم تكن تستهدف الحكومة الأوكرانية على وجه التحديد ، فقد حلل المهاجمون الأجهزة المصابة وقاموا بهجمات أكثر تركيزًا على أولئك الذين تم تحديد انتمائهم إلى كيانات حكومية.
غرد نائب رئيس Mandiant Threat Intelligence John Hultquist في تغريدة " الأهداف ذات الأهمية في حكومة UA تم انتقاؤها يدويًا. هذه الأهداف تتداخل مع مصالح GRU" .
أهداف سبق أن هاجمها قراصنة عسكريون روس
يتم تتبع مجموعة التهديد وراء هجوم سلسلة التوريد هذا على أنها UNC4166 ، وهدفها المحتمل هو جمع وسرقة المعلومات الحساسة من شبكات الحكومة الأوكرانية.
على الرغم من عدم وجود إسناد واضح في ذلك الوقت ، فقد وجد الباحثون الأمنيون في Mandiant أن المنظمات التي تعرضت للهجوم في هذه الحملة كانت في السابق على القائمة المستهدفة لقراصنة APT28 التابعين للدولة الذين لديهم روابط بالمخابرات العسكرية الروسية.
"أهداف UNC4166 تتداخل مع المنظمات المستهدفة من قبل المجموعات ذات الصلة بـ GRU مع المساحات في بداية الحرب." قال مانديانت.
"المنظمات التي أجريت فيها UNC4166 متابعة للتفاعلات شملت المنظمات التي كانت تاريخيًا ضحايا لهجمات المساحات التخريبية التي ربطناها بـ APT28 منذ اندلاع الغزو."
تعمل APT28 منذ عام 2004 على الأقل نيابة عن إدارة المخابرات الرئيسية للأركان العامة الروسية (GRU) وتم ربطها بحملات تستهدف الحكومات في جميع أنحاء العالم ، بما في ذلك اختراق البرلمان الفيدرالي الألماني عام 2015 والهجمات ضد لجنة حملة الكونغرس الديمقراطية (DCCC) واللجنة الوطنية الديمقراطية (DNC) في عام 2016 .
منذ بدء الغزو الروسي لأوكرانيا ، تم تصنيف العديد من حملات التصيد الاحتيالي التي تستهدف الحكومة الأوكرانية والمنظمات العسكرية على أنها عمليات APT28 بواسطة Google و Microsoft و CERT الأوكراني .
"يعد استخدام أنظمة ISOs التي تحتوي على طروادة أمرًا جديدًا في عمليات التجسس ويتضمن قدرات مكافحة الكشف التي تشير إلى أن الجهات الفاعلة التي تقف وراء هذا النشاط واعية للأمن وصبور ، حيث كانت العملية تتطلب وقتًا وموارد كبيرة لتطوير وانتظار ISO. مثبتة على شبكة مهمة ".
.webp&description=اختراق شبكات الحكومة الأوكرانية عبر مثبتات نظام التشغيل Windows 10){kind=link}
0 تعليقات