شناسایی بدافزار مخفی GRU برای سرقت اطلاعات حساب‌های Microsoft 365

مرکز ملی امنیت سایبری بریتانیا (NCSC) به‌صورت رسمی حملات جاسوسی بدافزاری با نام Authentic Antics را به گروه APT28 (معروف به Fancy Bear) نسبت داده است؛ گروهی تهدیدگر که پیش‌تر با سرویس اطلاعات نظامی روسیه (GRU) مرتبط شناخته شده بود.

NCSC در یک تحلیل فنی دقیق که در تاریخ ۶ مه منتشر شده، اعلام کرد بدافزار Authentic Antics اقدام به سرقت اعتبارنامه‌ها و توکن‌های OAuth 2.0 می‌کند که امکان دسترسی به حساب ایمیل قربانی را فراهم می‌سازند.

این بدافزار که در سال ۲۰۲۳ مشاهده شده، درون فرآیند Outlook اجرا می‌شود و با تولید مکرر پنجره‌های ورود به حساب Microsoft، تلاش می‌کند داده‌های ورود و کدهای احراز هویت قربانی را رهگیری کند.

NCSC توضیح داده است که با توجه به پیکربندی خاص هر Tenant در Microsoft 365، احتمال دارد داده‌های حساس دیگری نیز تحت تأثیر قرار بگیرند، از جمله اطلاعات موجود در Exchange Online، SharePoint و OneDrive.

بدافزار Authentic Antics داده‌های سرقت‌شده را از طریق همان حساب Outlook قربانی به آدرس ایمیلی تحت کنترل مهاجم ارسال می‌کند و برای پنهان‌سازی فعالیت، گزینه‌ی “ذخیره در موارد ارسال‌شده” را غیرفعال می‌سازد.

Authentic Antics از چندین مؤلفه تشکیل شده است که شامل یک dropper، یک infostealer، و چند اسکریپت PowerShell می‌باشد.

آژانس امنیت سایبری بریتانیا اعلام کرده است که Authentic Antics دارای سطح بالایی از پیچیدگی است که به آن امکان می‌دهد برای مدت طولانی بدون شناسایی، دسترسی به حساب‌های ایمیل قربانیان را حفظ کند.

این امر به دلیل آن است که ارتباطات شبکه‌ای این بدافزار تنها با سرویس‌های قانونی انجام می‌شود. علاوه بر این، چون پیام‌های ایمیل قربانی به‌طور خودکار برای مهاجم ارسال می‌شوند، نیازی به استفاده از سرور فرمان و کنترل (C2) برای دریافت دستورات وجود ندارد.

کارشناسان NCSC در تحلیل فنی خود عنوان کرده‌اند:
«حضور این بدافزار بر روی دیسک بسیار محدود است و داده‌ها در مسیرهای خاص رجیستری مربوط به Outlook ذخیره می‌شوند.»

انتساب و تحریم‌ها

در حالی که NCSC در تحلیل فنی اولیه هیچ گروه خاصی را مسئول معرفی نکرده بود، این آژانس امروز اعلام کرد که شواهدی مبنی بر ارتباط این بدافزار با گروه دولتی APT28 (که با نام‌های Fancy Bear، Sednit، Sofacy، Pawn Storm، STRONTIUM، Tsar Team و Forest Blizzard نیز شناخته می‌شود) یافته است.

در بیانیه رسمی NCSC آمده است:
«دولت بریتانیا امروز (۱۸ جولای) بازیگران اطلاعاتی نظامی روسیه را به‌دلیل استفاده از بدافزار ناشناخته‌ای برای جاسوسی از حساب‌های ایمیل قربانیان افشا کرد؛ اقدامی که با هدف ارتقای امنیت بریتانیا و متحدانش انجام شد.»

«مرکز ملی امنیت سایبری – بخشی از GCHQ – برای نخستین‌بار فاش کرده است که گروه تهدید سایبری APT28 مسئول استقرار بدافزار پیشرفته‌ای به نام AUTHENTIC ANTICS در عملیات خود بوده است.»

این انتساب همچنین منجر به اعمال تحریم‌هایی از سوی دولت بریتانیا علیه سه واحد GRU (به شماره‌های ۲۶۱۶۵، ۲۹۱۵۵ و ۷۴۴۵۵) و ۱۸ فرد روسی شده که در این کارزارها و سایر عملیات مشابه نقش داشته‌اند.

مقامات بریتانیا با محکوم کردن اقدامات عوامل GRU، آن‌ها را به اجرای عملیات هیبریدی با هدف بی‌ثبات‌سازی اروپا و تهدید شهروندان بریتانیا متهم کردند و اعلام کردند استفاده از بدافزار Authentic Antics نشانگر سطح فزاینده‌ای از پیچیدگی فنی در سرویس اطلاعاتی روسیه است.

در عین حال، آن‌ها بر تعهد NCSC برای افشای این فعالیت‌های سایبری و پاسخ‌گویی به عاملان آن‌ها تأکید کردند.