أرجعت وحدة الاستخبارات والأبحاث في Google Cloud، Mandiant، اليوم رسميًا حملات التجسس والحرب السيبرانية التي نفذها ممثل روسي معروف على نطاق واسع باسم Sandworm، وعلقت هجماتها على مجموعة جديدة مستقلة من التهديدات المستمرة المتقدمة (APT) التي ومن الآن فصاعدا سيتم تتبعه باسم APT44.
بفضل تدخلاتها التي يعود تاريخها إلى ضم روسيا غير القانوني لشبه جزيرة القرم في عام 2014، ظلت APT44 نشطة لأكثر من عقد من الزمان، وشاركت في العديد من الهجمات الإلكترونية الحكومية الروسية رفيعة المستوى، بما في ذلك هجمات الاختراق والتسريب على الانتخابات الأمريكية لعام 2016. حادثة NotPetyaوالهجمات على دورة الألعاب الأولمبية الشتوية لعام 2018 في كوريا الجنوبية.
منذ أواخر عام 2021، تركز عملها إلى حد كبير على أوكرانيا، حيث ساعدت في إرساء الأساس لهجوم موسكو في فبراير 2022 على كييف بحملة من الهجمات السيبرانية. نشر البرامج الضارة الممسحة المدمرة. ومنذ ذلك الحين، قامت الوحدة هجمات متعددة ضد أهداف في أوكرانيا.
تتم إدارة APT44 بواسطة الوحدة 74455 في المركز الرئيسي للتقنيات الخاصة (GTsST) في المديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة للاتحاد الروسي (GU)، والمعروفة باسم مديرية الاستخبارات الرئيسية (GRU)، التي أسسها جوزيف ستالين خلال الحقبة السوفيتية، على الرغم من عدم الخلط بينه وبين الكي جي بي.
وقال دان بلاك، مدير قسم الأمن السيبراني: “إن APT44 هي الجهة التهديدية الأكثر جرأة على الإطلاق، في خضم واحدة من أكثر حملات النشاط السيبراني كثافة التي شهدناها على الإطلاق، في دعم كامل لحرب العدوان الإقليمي الروسية”. تحليل التجسس في Mandiant، وأحد المؤلفين الرئيسيين لتقرير Mandiant الجديد حول APT44. “لا يوجد أي جهة تهديد أخرى اليوم تستحق اهتمامنا الجماعي، والتهديد الذي تشكله APT44 يتطور بسرعة.
وقال: “على مدار الحرب، شهدنا تحول وضع APT44 بعيدًا عن التعطيل باعتباره تركيزًا أساسيًا على التجسس لتوفير ميزة في ساحة المعركة للقوات التقليدية الروسية”. “هذا لا يعني أن التخريب غير وارد، ولكن يبدو أن APT44 أكثر دقة فيما يتعلق بالأهداف التي تسعى إلى تحقيقها والقدرات التي تختار استخدامها. إنه خصم عالي القدرة على التكيف ومبتكر ومن الواضح أنه يستوعب الدروس حول كيفية دعم العمليات السيبرانية لحرب طويلة بشكل أفضل ويقوم بتعديل أساليبه وفقًا لذلك.
وقال مانديانت إن عمليات APT44 لدعم أهداف موسكو أثبتت أنها “قابلة للتكيف من الناحية التكتيكية والعملياتية”، وأن العملية كانت متكاملة بشكل جيد مع أنشطة الجيش الروسي. وأضافت أنه لم تلعب أي حكومة روسية أخرى (APT) دورًا مركزيًا أكثر في تشكيل الحرب التقليدية في أوكرانيا.
لماذا الان؟
يميل خبراء الأمن السيبراني إلى الإجماع على أن الإسناد هو وحش معقد يتطلب بحثًا مكثفًا وتقييمًا للأدلة. ويصدق هذا حتى عندما تكون أنشطة مجموعة معينة معروفة جيدًا في مجتمع الأمن، ويتم توثيقها على نطاق واسع في منشورات المدونات والأوراق البحثية وفي وسائل الإعلام.
إذا كانت هناك درجة طفيفة من الشك حول الأدلة المتاحة، فقد يكون من غير المفيد للغاية، بل ومن غير الحكمة، أن ننسب بشكل قاطع أي حملة إلكترونية إلى فرد أو مجموعة معروفة، حتى لو كانت النية حسنة. إن القيام بذلك يمكن أن يسبب مشاكل للمدافعين الذين قد يلاحقون عن طريق الخطأ الشيء الخطأ، ويؤدي إلى عواقب أخرى غير مقصودة. بل قد يزعج حتى الجهات الفاعلة في مجال التهديد، الذين يشتهرون بالهوس الذاتي والحساسية، ويدفعهم إلى الهجوم بطرق غير متوقعة.
على هذا النحو، لم يكن من الممكن حقًا الإدلاء ببيانات واثقة حول الطبيعة الدقيقة لـ Sandworm حتى الآن لعدد من الأسباب – من بينها الحديث عن التداخل التشغيلي بين APT44 ومجموعات أخرى مثل APT28 (ويعرف أيضًا باسم فانسي بير) – والتي “تقع بالفعل عبر الممر” تحت رعاية الوحدة 26165 التابعة لـ GTsST (من المحتمل أن تكون العمليتان قد عملتا معًا في عدد من الحملات رفيعة المستوى، وفقًا لمانديانت).
ولكن من خلال منحها تصنيفًا رسميًا وواثقًا، قال مانديانت إنه سيكون من الأسهل على المدافعين على مستوى العالم تحديد وتتبع نشاطها، وتبادل المعلومات الاستخبارية بشكل أكثر ملاءمة على أمل إحباط أهداف المجموعة.
لماذا يجب عليهم القيام بذلك؟ وقال مانديانت إن التهديد الذي تشكله APT44 لا يقتصر على أوكرانيا. تمت ملاحظة عمليات APT44 في جميع أنحاء العالم، وبالنظر إلى أن المجموعة لديها تاريخ في التدخل في العمليات الديمقراطية، فإن إمكانات التهديد الخاصة بها مرتفعة للغاية في عام 2024 نظرًا عدد الانتخابات الجارية والتي من المرجح أن تكون هدفاً للتدخل الروسي.
في الواقع، يصف مانديانت APT44 بأنه تهديد مستمر وعالي الخطورة لكل من الحكومات ومشغلي البنية التحتية الوطنية الحيوية في الدول التي ترى روسيا أن لديها مصلحة وطنية فيها، بما في ذلك المملكة المتحدة. إن APT44، بفضل قدراتها المتقدمة وقدرتها على تحمل المخاطر العالية وتفويضها لدعم أهداف السياسة الخارجية للكرملين، يعرض مثل هذه المنظمات لخطر الوقوع في براثنها دون سابق إنذار.
بالإضافة إلى ذلك، قال مانديانت إن APT44 يمثل خطرًا كبيرًا لانتشار تكتيكات وتقنيات وإجراءات الهجوم السيبراني الجديدة، مما يخفض حاجز الدخول أمام كل من الجهات الفاعلة في مجال التهديد المدعومة من الدولة وذات الدوافع المالية لتطوير حملاتها الخاصة.
وبالنظر إلى المستقبل، قال الباحثون إن APT44 ستستمر “بشكل شبه مؤكد” في تمثيل أحد أكبر وأعلى التهديدات السيبرانية على مستوى العالم في المستقبل المنظور. ويشير تاريخ تورطها في بعض الهجمات السيبرانية الأكثر شهرة في العقد الماضي إلى “عدم وجود حدود للدوافع القومية” التي تغذي عملياتها.
ومجرد ارتباطها بأوكرانيا لا يعني أنها لن تتجه نحو المملكة المتحدة والولايات المتحدة إذا شعر دافعو الرواتب أن القيام بذلك له ما يبرره. المواجهات القادمة بين ريشي سوناك وكير ستارمر و جو بايدن ودونالد ترامب قد يلفت انتباهه.
وقال بلاك: “إن التهديد الذي تشكله APT44 لا ينتهي عند حدود أوكرانيا”. “على الرغم من الحرب المستمرة، ما زلنا نرى عمليات APT44 على مستوى العالم. لقد رأينا المجموعة تجرب استخدام برامج الفدية ضد شبكات النقل والخدمات اللوجستية في أوروبا.
وأضاف: “ومع وجود عدد من الانتخابات المحورية في الأفق، والتي سيشكل بعضها مسار المساعدات العسكرية الغربية المستقبلية لأوكرانيا، فإن تاريخ APT44 في محاولة التدخل في العمليات الديمقراطية يعني أن اليقظة حول هذه المجموعة لها أهمية قصوى”.
