FSB که یک مرکز هماهنگی ملی مربوط به حوادث رایانهای (NKTsKI) است، خبر از نفوذ هکرهای خارجی به آژانسهای فدرال روسی داد. به نقل از یک منبع خبری داخل FSB و Rostelecom-Solar این هکرها موفق به دزدیدن برخی از اطلاعات این آژانسهای فدرال روسیه شدهاند.
در این حملات که در سال 2020 رخ داد، مهاجمان از حملات Spear-Phishing، سوءاستفاده از نقاط ضعف موجود در برنامههای تحت وب، هک زیرساختهای پیمانکاران به جهت نفوذ به زیرساختهای مقامات اجرایی فدرال روسیه، استفاده کردند.
به باور کارشناسان مهاجمان حقیقی در پشت این حملات، تبهکاران سایبری سازمانیافتهای هستند که توسط دولتهای خارجی بهکار گرفتهشدهاند.
به نقل از این متخصصان: «با توجه به سطح مهاجمان که بهوسیله فنآوریها و مکانیزمهای بهکار رفته، سرعت و کیفیت حمله انجام شده، مشخص میشود، میتوان گفت این تبهکاران سایبری منافع یک کشور خارجی را دنبال میکنند. چنین هکرهایی میتوانند مدت زیادی در زیرساختهای مورد حمله و.اقع شده بمانند و خود را لو ندهند.» همچنین گفتند: « هدف اصلی هکرها به خطر انداختن کامل زیرساختهای فناوریاطلاعات و سرقت اطلاعات محرمانه، از جمله اسناد بخشهای بسته و مکاتبات مقامات اصلی اجرایی فدرال بود.»
هکرها پس از حمله به شبکه آژانسهای هدف، اطلاعات حساس سیستمهای داخلی را جمع آوری کردند. مهاجمان برای سرقت اطلاعات مورد نظر خود به سرورهای Mail، سرورهای مدیریت اسناد الکترونیکی، سرورهای File و ایستگاههای کاری در سطوح مختلف دسترسی پیدا کردند.
در این حمله مهاجمان از دو بدافزار که تا آن زمان کشف نشده بودند، با نامهای Mail-O و Webdav-O استفاده کردند.
برای آشنایی بیشتر با این بدافزارها میتوان گفت: « Mail-O یک برنامه دانلودر است، که به کلود Mail.ru مرتبط با حساب متصل به نمونه، دسترسی دارد. تمام ارتباطات با استفاده از Cloud API Mail.ru انجام میشود.» در ادامه باید گفت: « دیگر بدافزار Webdav-O است. این بدافزار هم مثل Mail-O تا آن زمان کشف نشده بود و از طریق کلود Yandex.Disk با سرور مدیریت ارتباط برقرار میکند. این بدافزار از دو روش برای احراز هویت استفاده میکند، basic توسط لاگین با رمزعبود و oauth با استفاده از توکن.
بر اساس این گزارش، هکرها بهطور خاص سیستمهای آژانسهای فدرال را هدف قرار داده و بدافزار خود را برای دور زدن محبوبترین آنتیویروس روسی Kaspersky که معمولاً توسط دفاتر دولتی نصب میشود، طراحی کردهاند.
در ادامه این گزارش آمده است: «این بدافزار توسعه یافته، توسط تبهکاران سایبری از فضای ذخیرهسازی ابر شرکتهای روسیِ Yandex و Mail.ru Group برای بارگیری دادههای جمعآوری شده استفاده کرده و هکرها فعالیت شبکه خود را به عنوان ابزارهای قانونی Yandex Disk و Disk-O انجام دادهاند. چنین بدافزاری قبلاً هرگز در جایی مشاهده نشدهبود.»
طبق نتیجهگیری FSB این حملات بی سابقه برای عوامل مختلفی از جمله:
- سطح تهدید، حملات به اعتبار فدرال ضربه می زند؛
- سطح 5 تهدید مطابق با مدل استفاده شده توسط Solar JSOC؛
- سازش کامل زیرساختها و سرقت اطلاعات محرمانه دولت؛
- مشارکت بدافزارهای مجهول و ناشناس؛
- استفاده متعدد از بردارهای متنوع در این حمله؛
- استفاده از ارائه دهندگان ابر روسیِ “Yandex” و Mail.ru Group؛
- میزان تشخیص صفر مصنوعات درگیر.
همچنین در نهایت FSB حمله را به هیچ کشور خارجی نسبت نداد.
