نفوذ هکرهای خارجی به آژانس‌های فدرال روسی

حمله هکرهای خارجی به فدرال روسیه

FSB که یک مرکز هماهنگی ملی مربوط به حوادث رایانه‌ای (NKTsKI) است، خبر از نفوذ هکرهای خارجی به آژانس‌های فدرال روسی داد. به نقل از یک منبع خبری داخل FSB و Rostelecom-Solar این هکرها موفق به دزدیدن برخی از اطلاعات این آژانس‌های فدرال روسیه شده‌اند.
در این حملات که در سال 2020 رخ داد، مهاجمان از حملات Spear-Phishing، سوءاستفاده از نقاط ضعف موجود در برنامه‌های تحت وب، هک زیرساخت‌های پیمانکاران به جهت نفوذ به زیرساخت‌های مقامات اجرایی فدرال روسیه، استفاده کردند.
به باور کارشناسان مهاجمان حقیقی در پشت این حملات، تبهکاران سایبری سازمان‌یافته‌ای هستند که توسط دولت‌های خارجی به‌کار گرفته‌شده‌اند.

به نقل از این متخصصان: «با توجه به سطح مهاجمان که به‌وسیله فن‌آوری‌ها و مکانیزم‌های به‌کار رفته، سرعت و کیفیت حمله انجام شده، مشخص می‌شود، می‌توان گفت این تبهکاران سایبری منافع یک کشور خارجی را دنبال می‌کنند. چنین هکرهایی می‌توانند مدت زیادی در زیرساخت‌های مورد حمله و.اقع شده بمانند و خود را لو ندهند.» همچنین گفتند: « هدف اصلی هکرها به خطر انداختن کامل زیرساخت‌های فناوری‌اطلاعات و سرقت اطلاعات محرمانه، از جمله اسناد بخش‌های بسته و مکاتبات مقامات اصلی اجرایی فدرال بود.»

هکرها پس از حمله به شبکه‌ آژانس‌های هدف، اطلاعات حساس سیستم‌های داخلی را جمع آوری کردند. مهاجمان برای سرقت اطلاعات مورد نظر خود به سرورهای Mail، سرورهای مدیریت اسناد الکترونیکی، سرورهای File و ایستگاه‌های کاری در سطوح مختلف دسترسی پیدا کردند.

در این حمله مهاجمان از دو بدافزار که تا آن زمان کشف نشده بودند، با نام‌های Mail-O و Webdav-O استفاده کردند.

بدافزار

برای آشنایی بیشتر با این بدافزارها می‌توان گفت: « Mail-O یک برنامه دانلودر است، که به کلود Mail.ru مرتبط با حساب متصل به نمونه، دسترسی دارد. تمام ارتباطات با استفاده از Cloud API Mail.ru انجام می‌شود.» در ادامه باید گفت: « دیگر بدافزار Webdav-O است. این بدافزار هم مثل Mail-O تا آن زمان کشف نشده بود و از طریق کلود Yandex.Disk با سرور مدیریت ارتباط برقرار می‌کند. این بدافزار از دو روش برای احراز هویت استفاده می‌کند، basic توسط لاگین با رمزعبود و oauth با استفاده از توکن.

بر اساس این گزارش، هکرها به‌طور خاص سیستم‌های آژانس‌های فدرال را هدف قرار داده و بدافزار خود را برای دور زدن محبوب‌ترین آنتی‌‎ویروس روسی Kaspersky که معمولاً توسط دفاتر دولتی نصب می‌شود، طراحی کرده‌اند.

در ادامه این گزارش آمده است: «این بدافزار توسعه یافته، توسط تبهکاران سایبری از فضای ذخیره‌سازی ابر شرکت‌های روسیِ Yandex و Mail.ru Group برای بارگیری داده‌های جمع‌آوری شده استفاده کرده و هکرها فعالیت شبکه خود را به عنوان ابزارهای قانونی Yandex Disk و Disk-O انجام داده‌اند. چنین بدافزاری قبلاً هرگز در جایی مشاهده نشده‌بود.»

طبق نتیجه‌گیری FSB این حملات بی سابقه برای عوامل مختلفی از جمله:

  • سطح تهدید، حملات به اعتبار فدرال ضربه می زند؛
  • سطح 5 تهدید مطابق با مدل استفاده شده توسط Solar JSOC؛
  • سازش کامل زیرساخت‌ها و سرقت اطلاعات محرمانه دولت؛
  • مشارکت بدافزارهای مجهول و ناشناس؛
  • استفاده متعدد از بردارهای متنوع در این حمله؛
  • استفاده از ارائه دهندگان ابر روسیِ “Yandex” و Mail.ru Group؛
  • میزان تشخیص صفر مصنوعات درگیر.

همچنین در نهایت FSB حمله را به هیچ کشور خارجی نسبت نداد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.