مایکروسافت اخیرا فاش کرده است که یک گروه هکر مرتبط با دولت روسیه به نام Midnight Blizzard مسئول حملات امنیتی، سرقت اسناد و اطلاعات کاربران بوده است. در همین راستا تیم اطلاعاتی تهدیدات غول پیکر گفت: این حملات با استفاده از سرویسهای پروکسی محلی آدرس IP منبع حملات را مخفی میکنند و دولتها، ارائهدهندگان خدمات فناوری اطلاعات، سازمانهای غیردولتی، دفاعی و بخشهای مهم تولیدی علامتگذاری شدهاند.
Midnight Blizzard که قبلاً با نام Nobelium شناخته می شد، با نام های APT29، Cozy Bear Iron Hemlock و The Dukes نیز شناخته می شود. این گروه که در دسامبر 2020 با هک SolarWinds توجه جهانی را به خود جلب کرد، همچنان در حملات هدفمند خود علیه وزارتخانه های خارجه و موسسات دیپلماتیک به ابزارهای مخفیانه تکیه می کند.
این نشان می دهد که این هکرها چقدر مصمم هستند که علیرغم فاش شدن هویتشان به عملیات خود ادامه دهند. این امر آنها را به بازیگران بسیار قدرتمندی در زمینه جاسوسی تبدیل می کند.
تکنیک مورد استفاده در این حملات
مایکروسافت در یک سری توییت در توییتر گفت: “این حملات از انواع اسپری رمز عبور، حملات brute force، و تکنیک های سرقت رمز عبور استفاده می کنند.” “هکرهای روسی نیز با استفاده از جلسات دزدیده شده، حملاتی را تکرار کردند که احتمالاً از طریق فروش غیرقانونی برای دسترسی به منابع ابری به دست آمده است. “
مایکروسافت همچنین از APT29 به دلیل استفاده از سرویسهای پراکسی محلی برای هدایت ترافیک در تلاش برای پنهان کردن اتصالات ایجاد شده با استفاده از اعتبارنامههای به خطر افتاده انتقاد کرد.
سازنده ویندوز گفت: «هکرهای روسی احتمالاً برای مدت کوتاهی از آدرسهای IP برای به چالش کشیدن محدودیتها و تغییرات استفاده میکنند. این زمانی اتفاق افتاد که Recorded Future یک کمپین فیشینگ جدید از APT28 ایجاد کرد. APT28 که از نوامبر 2021 سازمانهای دولتی و نظامی اوکراین را هدف قرار داده است، با نامهای مستعار BlueDelt، Forest Blizzard، FROZENLAKE، Iron Twilight و Fancy Bear نیز شناخته میشود.
این حملات امنیتی با استفاده از ایمیلهای حاوی پیوندهایی انجام میشوند که از چندین حفره امنیتی در نرمافزار ایمیل منبع باز Roundcube (CVE-2020-12641، CVE-2020-35730 و CVE-2021-44026) برای انجام کشف و جمعآوری دادهها سوء استفاده میکنند. .
یک نقض امنیتی وجود دارد
در واقع، یک نقص امنیتی کوچک به هکرهای ارتش روسیه امکان استفاده از بدافزار جاوا اسکریپت را می داد. این بدافزار ایمیل های دریافتی افراد مورد نظر را به آدرس ایمیلی که تحت کنترل مهاجمان بود هدایت می کرد و لیست تماس آنها را به هکرها نشان می داد.
یک شرکت امنیت سایبری گفت: «این حادثه سطح بالای آمادگی هکرها را نشان داده است. زیرا به سرعت محتوای خبری را به ابزاری برای کلاهبرداران ایمیل تبدیل کرد.» ایمیلهای فیشینگ حاوی اخبار اوکراینی بود که توسط رسانههای معتبر پوشش داده میشد.
مهمتر از آن، گفته میشود که این حمله امنیتی با مجموعهای از حملات به دنبال دارد که منجر به آسیبپذیری روز صفر در Microsoft Outlook میشود (CVE-2023-23397) که در حملات هدفمند علیه سازمانهای اروپایی استفاده شد.
خوشبختانه، این نقص امنیتی به عنوان بخشی از برنامه به روز رسانی وصله سه شنبه مارس 2023 برطرف شد. این یافته ها نشان می دهد که هکرهای روسی به طور مداوم برای جمع آوری اطلاعات ارزشمند در مورد نهادهای مختلف در اوکراین و سراسر اروپا کار کرده اند. به خصوص پس از تهاجم عظیمی که آنها در فوریه 2022 منتشر کردند.
عملیات جنگ سایبری که اوکراین را هدف قرار می دهد به طور خاص برای از بین بردن داده های موجود با استقرار بدافزار گسترده طراحی شده است. حادثه ای که به یکی از اولین نمونه های جنگ ترکیبی گسترده تبدیل شد.
Recorded Future میگوید: «دلتای آبی به هدف قرار دادن دولت اوکراین و سازمانهای بخش خصوصی در حمایت از عملیات نظامی گسترده روسیه ادامه میدهد و این را در اولویت قرار میدهد».