الصفحة الرئيسية

تحذر Google TAG من قراصنة روس ينفذون هجمات تصيد في أوكرانيا

 

تم ربط قراصنة النخبة المرتبطين بجهاز المخابرات العسكرية الروسية بحملات تصيد واسعة النطاق تستهدف مئات المستخدمين في أوكرانيا لاستخراج المعلومات والتأثير على الخطاب العام المتعلق بالحرب.

قالت مجموعة تحليل التهديدات التابعة لـ Google (TAG) ، التي تراقب أنشطة الممثل تحت اسم FROZENLAKE ، إن الهجمات تواصل "تركيز المجموعة لعام 2022 على استهداف مستخدمي بريد الويب في أوروبا الشرقية".

الممثل السيبراني الذي ترعاه الدولة ، والذي تم تتبعه أيضًا باسم APT28 و Fancy Bear و Forest Blizzard و Iron Twilight و Sednit و Sofacy ، غزير الإنتاج ومهني. كانت نشطة منذ عام 2009 على الأقل ، وتستهدف وسائل الإعلام والحكومات والكيانات العسكرية بالتجسس.

تضمنت مجموعة التطفل الأخيرة ، التي بدأت في أوائل فبراير 2023 ، استخدام هجمات البرمجة النصية عبر المواقع ( XSS ) على مختلف مواقع الحكومة الأوكرانية لإعادة توجيه المستخدمين إلى مجالات التصيد الاحتيالي والتقاط بيانات اعتمادهم.

يأتي هذا الكشف في الوقت الذي أصدرت فيه وكالات الاستخبارات وإنفاذ القانون في المملكة المتحدة والولايات المتحدة تحذيرًا استشاريًا مشتركًا لهجمات APT28 التي تستغل ثغرة أمنية قديمة ومعروفة في أجهزة توجيه Cisco لنشر برامج ضارة تعرف باسم Jaguar Tooth.

فروزينليك بعيد كل البعد عن الفاعل الوحيد الذي يركز على أوكرانيا منذ الغزو العسكري الروسي للبلاد منذ أكثر من عام. مجموعة خصومة بارزة أخرى هي FROZENBARENTS - المعروفة أيضًا باسم Sandworm أو Seashell Blizzard (née Iridium) أو Voodoo Bear - والتي شاركت في جهد مستمر لاستهداف المنظمات التابعة لاتحاد خطوط أنابيب بحر قزوين (CPC) وكيانات قطاع الطاقة الأخرى في أوروبا الشرقية.


تم نسب كلتا المجموعتين إلى مديرية المخابرات الرئيسية للأركان العامة (GRU) ، مع ربط APT28 بمركز الخدمة الخاصة رقم 85 (GTsSS) وحدة المخابرات العسكرية رقم 26165. من ناحية أخرى ، يُعتقد أن الدودة الرملية جزء من وحدة GRU 74455.

استهدفت حملة جمع بيانات الاعتماد موظفي CPC من خلال روابط التصيد التي يتم تسليمها عبر الرسائل القصيرة. الهجمات على روابط الطاقة الموزعة العمودية لحزم تحديثات Windows المزيفة التي نفذت في النهاية سرقة معلومات تعرف باسم Rhadamanthys لاستخراج كلمات المرور وملفات تعريف الارتباط للمتصفح.

كما لوحظ قيام شركة FROZENBARENTS ، التي يطلق عليها اسم "الفاعل السيبراني GRU الأكثر تنوعًا" ، بإطلاق هجمات تصيد بيانات الاعتماد تستهدف صناعة الدفاع الأوكرانية والجيش ومستخدمي بريد الويب Ukr.net بدءًا من أوائل ديسمبر 2022.

يُقال إن المهاجم قد أنشأ المزيد من الشخصيات عبر الإنترنت عبر YouTube و Telegram و Instagram لنشر الروايات المؤيدة لروسيا ، وتسريب البيانات المسروقة من المنظمات المخترقة ، ونشر أهداف لهجمات رفض الخدمة الموزعة (DDoS).

قال بيلي ليونارد الباحث في TAG: "لقد استهدفت FROZENBARENTS المستخدمين المرتبطين بالقنوات الشهيرة على Telegram". "حملات التصيد الاحتيالي التي يتم تسليمها عبر البريد الإلكتروني والرسائل النصية القصيرة تنتحل Telegram لسرقة بيانات الاعتماد ، وتستهدف أحيانًا المستخدمين الذين يتابعون القنوات المؤيدة لروسيا."

تمثل PUSHCHA (المعروفة أيضًا باسم Ghostwriter أو UNC1151) ، وهي مجموعة مدعومة من الحكومة البيلاروسية معروفة بأنها تعمل نيابة عن المصالح الروسية والتي نفذت هجمات تصيد مستهدفة تستهدف مزودي بريد الويب الأوكرانيين مثل i.ua و meta. ua لسحب بيانات الاعتماد.

أخيرًا ، أبرزت Google TAG أيضًا مجموعة من الهجمات التي شنتها المجموعة التي تقف وراء كوبا الفدية لنشر RomCom RAT في الحكومة الأوكرانية والشبكات العسكرية.

وأشار ليونارد إلى أن "هذا يمثل تحولًا كبيرًا عن عمليات برامج الفدية التقليدية التي يقوم بها هذا الممثل ، حيث يتصرف بشكل مشابه إلى حد كبير مع ممثل يقوم بعمليات لجمع المعلومات الاستخبارية".

بشكل عام ، قال فريق الأمن السيبراني العملاق للتكنولوجيا ، والذي يعمل على مكافحة القرصنة والهجمات على مستوى الدولة ، إن أوكرانيا كانت في الطرف المتلقي لأكثر من 60٪ من حملات التصيد الاحتيالي التي نشأت من روسيا خلال الأشهر الثلاثة الأولى من عام 2023.

يأتي هذا التطور أيضًا في أعقاب تنبيه جديد من المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) حول التهديدات الناشئة لمنظمات البنية التحتية الوطنية الحيوية من المجموعات المتحالفة مع الدولة ، ولا سيما تلك التي "متعاطفة" مع الغزو الروسي لأوكرانيا .

وقالت الوكالة "هذه الجماعات ليست مدفوعة بمكاسب مالية ، ولا تخضع لسيطرة الدولة ، وبالتالي يمكن أن تكون أفعالها أقل قابلية للتنبؤ واستهدافها على نطاق أوسع من الجهات الفاعلة في جرائم الإنترنت التقليدية" .

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة