ممثل التهديد المستمر المتقدم (APT) المدعوم من الكرملين والمعروف لدى المجتمع السيبراني بأسماء مختلفة مثل APT28 وFighting Ursa وForest Blizzard والأكثر شهرة، يتوهم الدب، ربما كان يستغل الارتفاع الحرج للامتياز (EoP) لليوم صفر في Microsoft Outlook في وقت أبكر بكثير وعلى نطاق أوسع مما كان يُعتقد.
تم الكشف رسميًا عن CVE-2023-23397 و تم تصحيحه مرة أخرى في مارس 2023. إنه خطأ سيئ بشكل خاص، يتم استغلاله عن طريق إرسال بريد إلكتروني مصمم خصيصًا للضحية، ولكن نظرًا لأنه يمكن تشغيله من جانب الخادم، فإنهم لا يحتاجون فعليًا إلى فتحه أو عرضه ليتم اختراقه.
وبعد أيام قليلة من ذلك، حذر جون هولتكويست من مانديانت من أن موسكو قد استغلت الثغرة الأمنية ضد أهداف أوكرانية. لأكثر من 12 شهرًا. ثم، في وقت سابق من شهر ديسمبر، قامت شركة مايكروسوفت والقيادة السيبرانية البولندية وحذر من أن استغلال الخطأ مستمر.
والآن تم نشر أدلة جديدة بواسطة فريق Unit 42 في Palo Alto Networks كشفت شركة Fancy Bear أن Fancy Bear استخدمت تقنية Zero-day بحرية على مدار العشرين شهرًا الماضية، في ثلاث حملات متميزة يعود تاريخها إلى الفترة من مارس إلى ديسمبر من عام 2022 – وفي مارس من عام 2023، ومؤخرًا بين سبتمبر وأكتوبر من هذا العام، مستهدفة 30 شخصًا على الأقل. منظمات في 14 دولة، غالبيتها أعضاء في حلف شمال الأطلسي.
يمتد علم الضحايا عبر قطاعات متعددة، بما في ذلك إنتاج الطاقة وتوزيعها؛ عمليات خطوط الأنابيب؛ العتاد والنقل الشخصي والجوي؛ ومختلف وزارات الدفاع الحكومية والخارجية والداخلية والاقتصاد.
وكانت الدول المستهدفة هي بلغاريا، والتشيك، وإيطاليا، والأردن، وليتوانيا، ولوكسمبورغ، والجبل الأسود، وبولندا، ورومانيا، وسلوفاكيا، وتركيا، وأوكرانيا، والإمارات العربية المتحدة، والولايات المتحدة، بالإضافة إلى الولايات المتحدة. مقر قوة الاستعداد العالي لحلف شمال الأطلسي، والتي تنتشر في جميع أنحاء أوروبا في المملكة المتحدة وفرنسا وألمانيا واليونان وبولندا وتركيا.
وقالت الوحدة 42 إن اكتشافها قدم نظرة ثاقبة على أولويات استهداف الدولة الروسية خلال الحرب المستمرة في أوكرانيا. وكتب الفريق: “إن التعمق في أكثر من 50 عينة تمت ملاحظتها والتي استهدفت فيها Fighting Ursa الضحايا باستخدام CVE-2023-23397 يوفر رؤى فريدة وغنية بالمعلومات حول الأولويات العسكرية الروسية خلال فترة الصراع الدولي بالنسبة لهم”.
“تُعد برمجيات استغلال يوم الصفر بطبيعتها سلعًا قيمة بالنسبة للتهديدات المستمرة المتقدمة. لا تستخدم الجهات الفاعلة في مجال التهديد هذه الثغرات إلا عندما تفوق المكافآت المرتبطة بالوصول والاستخبارات المكتسبة مخاطر الاكتشاف العام لبرمجيات إكسبلويت.
“إن استخدام ثغرة يوم الصفر ضد هدف ما يشير إلى أنها ذات قيمة كبيرة. ويشير أيضًا إلى أن الوصول والمعلومات الاستخبارية الحالية لهذا الهدف لم تكن كافية في ذلك الوقت.
“في الحملتين الثانية والثالثة، واصلت Fighting Ursa استخدام ثغرة معروفة علنًا والتي نُسبت إليهم بالفعل، دون تغيير تقنياتها. وهذا يشير إلى أن الوصول والمعلومات الاستخبارية الناتجة عن هذه العمليات تفوق تداعيات الكشف والاكتشاف العام.
“لهذه الأسباب، كانت المنظمات المستهدفة في الحملات الثلاث على الأرجح ذات أولوية أعلى من المعتاد بالنسبة للمخابرات الروسية”.
كيف يعمل CVE-2023-23397
أهداف CVE-2023-23397 ويندوز إن تي LAN مدير (NTLM)، وهو بروتوكول مصادقة للتحدي والاستجابة معروف بأنه عرضة لما يعرف بهجمات الترحيل، نتيجة لاستخدام Microsoft كيربيروس كبروتوكول افتراضي لنظام التشغيل Windows 2000.
لسوء الحظ بالنسبة لمستخدمي Microsoft، فإن العديد من أنظمة Microsoft، بما في ذلك Outlook، ستعود افتراضيًا إلى NTLM باعتبارها نظامًا آمنًا للفشل إذا لم يكن Kerberos ممكنًا.
في سلسلة الاستغلال، يتلقى مثيل Outlook الضعيف أو الذي تم تكوينه بشكل خاطئ بريدًا إلكترونيًا معدًا خصيصًا ويرسل رسالة مصادقة NTLM إلى مشاركة ملف عن بعد يتحكم فيها Fancy Bear. فهو يتلقى مرة أخرى تجزئة NTLMv2 والتي تستخدمها APT بعد ذلك لانتحال شخصية الضحية والوصول إلى شبكته.
كينيت هاربسو, نقطة الدخول وعلق أحد كبار المحللين السيبرانيين قائلاً: “بالنظر إلى الوضع السياسي العام، لا ينبغي أن يكون الهجوم الموصوف بمثابة مفاجأة لأي شخص… NTLM قديم ومنخفض القيمة. البديل الحديث هو Kerberos [which] يعد NTLM قياسيًا حتى في شبكات Windows، ولكن يتم استخدام NTLM كبديل وبالتالي لا يزال يستخدم على نطاق واسع على الرغم من عيوبه الأمنية العديدة والمعروفة.
“إذا كان بإمكانك، قم بتعطيل NTLM في إعلانك، وإذا لم تتمكن من ذلك، فتأكد من مراقبة حركة مرور NTLM على شبكتك. هل أصبح المستخدمون الجدد فجأة يستخدمون مصادقة NTLM طوال الوقت؟ عادةً، يجب ألا تغادر طلبات مصادقة NTLM شبكتك. إذا فعلوا ذلك، ينبغي إجراء تحقيق شامل. قال: “تتبع جميع محاولات إعادة تشغيل NTLM في شبكتك من سجل الإعلانات الخاص بك”.
“فرض التوقيع (SMB/LDAP) والحماية الموسعة للمصادقة (EPA) على جميع الخوادم ذات الصلة، مثل وحدات التحكم بالمجال وخوادم البريد الإلكتروني، للتغلب على معظم هجمات إعادة التشغيل.
وأضاف Harpsøe: “أخيرًا، يتساءل المرء لماذا لا يزال من غير المعتاد تشفير رسائل البريد الإلكتروني أثناء عدم النشاط، مع وجود مفاتيح خاصة بالمستلمين. لقد كان PGP موجودًا منذ فترة طويلة. ليس من الممتع سرقة رسائل البريد الإلكتروني إذا كنت لا تستطيع قراءتها!
الدببة مشغولة
يأتي الكشف الأخير للوحدة 42 حول مدى النشاط السيبراني الروسي الخبيث في أعقاب معلومات استخباراتية جديدة كبيرة نشرها أمس المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) والوكالات الشريكة والتي نُسبت فيها بشدة حملة من الهجمات السيبرانية على العملية السياسية البريطانية. إلى مجموعة جهاز الأمن الفيدرالي (FSB). تسمى ستار بليزارد، لكن أيضا يتم تتبعها باسم النهر البارد وSeaborgium من بين أسماء أخرى.
وتعتبر الحكومة أن هذه الحملة خطيرة جدًا بطبيعتها كما كانت بالأمس واستدعى السفير الروسي للمحاسبة على ذلكووضعت شخصين محددين، بما في ذلك عميل FSB، على قائمة العقوبات المالية في المملكة المتحدة بسبب تورطهما في هجوم على مركز أبحاث بارز.
من المعروف أن Star Blizzard تتم إدارتها من قبل وحدة المركز 18 التابعة لجهاز الأمن الفيدرالي، بينما من المرجح أن يتم التحكم في Fancy Bear من قبل مديرية المخابرات الرئيسية في هيئة الأركان العامة (GRU) 85.ذ وحدة مركز الخدمة الخاصة (GTsSS) 26165 وحدة.
في حين أن كلاً من FSB وGRU هما وحدتان خلفتان لجهاز KGB في الحقبة السوفيتية والمحبوب لدى أجيال من كتاب روايات التجسس، فإن FSB مسؤول عن مكافحة الاستخبارات وأمن الدولة وجمع المعلومات الاستخبارية خارج حدود روسيا، ويقدم تقاريره مباشرة إلى فلاديمير بوتين.
وفي الوقت نفسه، فإن GRU هي جهاز الاستخبارات الرئيسي للقوات المسلحة الروسية، وعلى عكس FSB فهي تابعة في النهاية لهيكل القيادة العسكرية في موسكو. تعتبر GRU أكبر جهاز استخبارات في روسيا، كما أنها تسيطر على قوات سبيتسناز الخاصة سيئة السمعة في البلاد.
تشكلت قوات سبيتسناز خلال الحرب الباردة، وشهدت نشاطًا خلال ربيع براغ عام 1968 والغزو السوفييتي لأفغانستان. وفي الآونة الأخيرة، كانوا ما يسمى بالرجال الخضر الصغار الذين شوهدوا في شبه جزيرة القرم قبل ضمها غير القانوني من أوكرانيا في عام 2014، وشاركوا في أعمال مختلفة على الأراضي الأوكرانية منذ فبراير 2022، بما في ذلك التخريب ضد أهداف رئيسية، وربما محاولات اغتيال ضد الرئيس الأوكراني. فولوديمير زيلينسكي.
