هکرهای روسی با نفوذ به سازمانها، مسیرهای ارسال کمک به اوکراین را ردیابی کردند.
یک کمپین جاسوسی سایبری تحت حمایت دولت روسیه که به گروه هکری APT28 (با نامهای Fancy Bear / Forest Blizzard) نسبت داده میشود، از سال ۲۰۲۲ تاکنون سازمانهای بینالمللی را هدف قرار داده و به آنها نفوذ کرده است تا تلاشهای امدادی به اوکراین را مختل کند.
هکرها نهادهایی در حوزههای دفاع، حملونقل، خدمات فناوری اطلاعات، کنترل ترافیک هوایی و دریایی را در ۱۲ کشور اروپایی و ایالات متحده آمریکا هدف قرار دادهاند.
علاوه بر این، هکرها با دسترسی غیرمجاز به دوربینهای خصوصی نصبشده در نقاط کلیدی مانند گذرگاههای مرزی، تاسیسات نظامی و ایستگاههای راهآهن، حرکت محمولهها به داخل اوکراین را رصد کردهاند.
هشدارنامه مشترکی از ۲۱ سازمان اطلاعاتی و سایبری در نزدیک به دوازده کشور منتشر شده که تاکتیکها، تکنیکها و رویههایی (TTPs) را که APT28 (واحد نظامی ۲۶۱۶۵ GRU روسیه) در حملات خود به کار گرفته، تشریح میکند.
این گزارش اشاره میکند که از سال ۲۰۲۲، بازیگر تهدید روسی APT28 از تاکتیکهایی مانند حدس رمز عبور (password spraying)، حملات spear-phishing و بهرهبرداری از آسیبپذیریهای Microsoft Exchange برای نفوذ به سازمانها استفاده کرده است.
پس از نفوذ به هدف اصلی، هکرها به نهادهای مرتبط در بخش حملونقل که با قربانی اولیه ارتباط تجاری داشتند حمله کردند و «از روابط اعتماد برای کسب دسترسی بیشتر سوءاستفاده کردند.»
همچنین APT28 دوربینهای متصل به اینترنت در گذرگاههای مرزی اوکراین را نیز هک کرده تا ارسال محمولههای کمک را زیر نظر داشته باشد.
سازمانهای هدف در ایالات متحده، بلغارستان، جمهوری چک، فرانسه، آلمان، یونان، ایتالیا، مولداوی، هلند، لهستان، رومانی، اسلواکی و اوکراین واقع شدهاند.
طبق گزارش، هکرها از روشهای متعددی برای دسترسی اولیه استفاده کردند که شامل موارد زیر است:
- حدس یا حمله brute force رمز عبور
- spear-phishing برای به دست آوردن اطلاعات کاربری
- spear-phishing برای ارسال بدافزار
- بهرهبرداری از آسیبپذیری Outlook NTLM (CVE-2023-23397)
- بهرهبرداری از آسیبپذیریهای نرمافزار Roundcube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- بهرهبرداری از زیرساختهای اینترنتی روبهرو (از جمله VPNهای سازمانی) از طریق آسیبپذیریهای عمومی و حملات SQL Injection
- بهرهبرداری از آسیبپذیری WinRAR (CVE-2023-38831)
برای پنهان کردن منبع حمله، APT28 ارتباطات خود را از طریق دستگاههای کوچک دفاتر و خانههای آسیبدیده که در نزدیکی هدف قرار داشتند، مسیریابی کرده است.
پس از ورود به شبکه قربانی، هکرها اطلاعات داخلی تماسها را در حوزههای امنیت سایبری، هماهنگی حملونقل و شرکتهای شریک شناسایی کردند تا اهداف بیشتری را مشخص کنند.
برای حرکت جانبی و استخراج دادهها، از دستورات بومی و ابزارهای متنباز مانند PsExec، Impacket، Remote Desktop Protocol، Certipy و ADExplorer برای استخراج اطلاعات Active Directory استفاده کردند.
آنها همچنین فهرست کاربران Office 365 را پیدا و استخراج کردند تا به ایمیلها دسترسی یابند. پس از دسترسی به حساب ایمیل، APT28 حسابهای هکشده را در مکانیزمهای احراز هویت چندعاملی (MFA) ثبتنام میکرد تا سطح اعتماد حسابهای هکشده افزایش یابد و دسترسی پایدار حفظ شود.
یکی از مراحل پس از دسترسی اولیه، نفوذ به حسابهای دارای دسترسی به اطلاعات حساس محمولههای کمک به اوکراین بود که شامل فرستنده، گیرنده، محتوای بار، مسیرهای سفر، شمارههای ثبت کانتینر و مقصد نهایی بود.
از جمله بدافزارهای استفاده شده در این کمپین میتوان به دربپشتیهای Headlace و Masepie اشاره کرد.
هکرها از روشهای مختلفی برای استخراج دادهها استفاده کردند که انتخاب هر روش بسته به محیط قربانی متغیر بود و شامل باینریها و بدافزارهای Living-off-the-Land (LOtL) میشد.
در برخی موارد، آنها با استفاده از زیرساختهای نزدیک به قربانی، پروتکلهای معتبر و محلی، و صرف زمان بین جلسات استخراج داده، عملیات خود را مخفی نگه داشتند.
یکی از بخشهای این کمپین جاسوسی، نفوذ به فیدهای دوربینهای متصل (خصوصی، ترافیکی، نظامی، ایستگاههای راهآهن، گذرگاههای مرزی) برای نظارت بر حرکت محمولهها به داخل اوکراین است.
گزارش آژانسهای دولتی نشان میدهد بیش از ۱۰ هزار دوربین هدف قرار گرفتهاند که بیش از ۸۰٪ آنها در اوکراین و نزدیک به هزار دوربین در رومانی واقع شدهاند.
جان هالتکوئیست، تحلیلگر ارشد گروه تهدید گوگل به BleepingComputer گفت که علاوه بر هدف رصد حمایتهای میدانی، هدف این بازیگر تهدید، ایجاد اختلال در این حمایتها از طریق روشهای فیزیکی یا سایبری نیز هست.
هالتکوئیست هشدار داد:
«این رخدادها میتوانند پیشدرآمد اقداماتی جدیتر باشند.» و افزود، هر کسی که در فرایند ارسال کمکهای مادی به اوکراین نقش دارد «باید خود را هدف فرض کند.»
هشدارنامه مشترک امنیت سایبری شامل توصیههای عمومی امنیتی، روشهای شناسایی، مجموعهای از شاخصهای نفوذ برای اسکریپتها و ابزارهای استفاده شده، ارائهدهندگان ایمیل رایج این بازیگر تهدید، نام فایلهای بایگانی مخرب، آدرسهای IP و جزئیات بهرهبرداری از Outlook است.
