هشدار Microsoft درباره حملات AiTM هکرهای روس علیه نهادهای دیپلماتیک با استفاده از زیرساخت ISP

 Microsoft هشدار داده است که یک گروه جاسوسی سایبری وابسته به سرویس امنیت فدرال روسیه (FSB)، نمایندگی‌های دیپلماتیک در مسکو را با استفاده از ارائه‌دهندگان خدمات اینترنت محلی (ISP) هدف قرار می‌دهد.

گروه هکری که توسط Microsoft با نام Secret Blizzard (که با نام‌های دیگر Turla، Waterbug و Venomous Bear نیز شناخته می‌شود) شناسایی شده، مشاهده شده که با سوءاستفاده از موقعیت adversary-in-the-middle (AiTM) خود در سطح ارائه‌دهنده خدمات اینترنت، سیستم‌های نمایندگی‌های دیپلماتیک را با بدافزار سفارشی ApolloShadow آلوده می‌کند.

برای انجام این حمله، مهاجمان قربانیان را به captive portalها هدایت کرده و آن‌ها را فریب می‌دهند تا یک فایل مخرب را که به‌عنوان نصب‌کننده‌ی آنتی‌ویروس Kaspersky جعل شده، دانلود و اجرا کنند.

پس از اجرا، ApolloShadow یک گواهی ریشه مورد اعتماد را که به‌عنوان Kaspersky Anti-Virus جعل شده، نصب می‌کند؛ اقدامی که باعث می‌شود دستگاه آلوده، وب‌سایت‌های مخرب را به‌عنوان منابع معتبر شناسایی کند و این امکان را به مهاجمان می‌دهد تا پس از نفوذ به سیستم‌های دیپلماتیک، دسترسی بلندمدت خود را برای اهداف اطلاعاتی حفظ کنند.

Microsoft اعلام کرد:
«این نخستین باری است که می‌توانیم توانمندی گروه Secret Blizzard را برای اجرای عملیات جاسوسی در سطح ISP تأیید کنیم؛ به این معنا که کارکنان دیپلماتیکی که از ارائه‌دهندگان اینترنت و مخابرات محلی در روسیه استفاده می‌کنند، در معرض خطر بالایی از هدف قرار گرفتن توسط موقعیت AiTM این گروه در چارچوب این خدمات قرار دارند.»

Microsoft همچنین افزود:
«این کمپین که حداقل از سال ۲۰۲۴ در حال اجراست، تهدیدی جدی برای سفارتخانه‌ها، نهادهای دیپلماتیک و سایر سازمان‌های حساس فعال در مسکو به‌شمار می‌آید؛ به‌ویژه برای نهادهایی که به ارائه‌دهندگان خدمات اینترنت محلی متکی هستند.»

اگرچه Microsoft برای نخستین‌بار این حملات را در فوریه ۲۰۲۵ شناسایی کرده، اما معتقد است این کارزار جاسوسی سایبری از دست‌کم سال ۲۰۲۴ فعال بوده است.

هکرهای گروه Secret Blizzard همچنین از سامانه‌های شنود داخلی روسیه، از جمله System for Operative Investigative Activities (SORM)، برای اجرای کارزارهای گسترده adversary-in-the-middle (AiTM) خود بهره‌برداری می‌کنند.

جاسوسان سایبری غیرمرسوم با تمرکز بر اهداف شاخص

گروه Turla از سال ۱۹۹۶ تاکنون، کمپین‌های جاسوسی سایبری و سرقت اطلاعات را علیه سفارتخانه‌ها، دولت‌ها و مراکز تحقیقاتی در بیش از ۱۰۰ کشور جهان هدایت کرده است.

دو سال پیش، سازمان CISA این گروه را به مرکز ۱۶ سرویس امنیت فدرال روسیه (FSB) و همچنین به یک شبکه peer-to-peer (P2P) متشکل از سیستم‌های آلوده به بدافزار جاسوسی Snake نسبت داد؛ شبکه‌ای که در ادامه طی یک عملیات مشترک توسط آژانس‌های سایبری و اطلاعاتی کشورهای عضو Five Eyes از کار انداخته شد.

این هکرهای وابسته به دولت روسیه، مظنونان اصلی حملات سایبری به نهادهایی چون فرماندهی مرکزی ایالات متحده (U.S. Central Command)، ناسا (NASA)، پنتاگون (Pentagon)، چندین وزارت خارجه در اروپای شرقی، وزارت خارجه فنلاند و همچنین دولت‌ها و سفارتخانه‌های عضو اتحادیه اروپا هستند.

این گروه تهدید پیشرفته، به تاکتیک‌های غیرمتعارف خود شهرت دارد؛ از جمله کنترل بدافزار از طریق کامنت‌گذاری در پست‌های اینستاگرامی Britney Spears و استفاده از backdoor trojan‌هایی که API‌های اختصاصی خود را دارند.

گروه Turla همچنین از زیرساخت‌های هک‌شده و بدافزارهای گروه APT ایرانی OilRig در کارزارهای خود استفاده کرده تا با گمراه‌سازی، حملات را به هکرهای دولتی ایران نسبت دهند.

در تازه‌ترین اقدام، این گروه در حال سوءاستفاده از زیرساخت‌های هکر پاکستانی Storm-0156 برای هدف قرار دادن تجهیزات نظامی اوکراینی متصل به Starlink شناسایی شده است.