فشلت البعثات الدبلوماسية الأجنبية والمنظمات غير الحكومية في أوكرانيا في توفير الحماية الكافية للموظفين من الانتهاكات الأساسية هجمات التصيد، مما يعرض موظفي الحكومة والأمن الوطني لخطر شديد، وفقًا لبحث يبحث في حملة متكررة تستخدم نفس الطعوم تقريبًا، دون تغيير عن السنوات السابقة.
في العام الماضي، أبلغ فريق البحث التابع لوحدة 42 في شركة Palo Alto Networks عن سلسلة من محاولات التصيد التي تم تعقبها إلى مجموعة Cozy Bear أو APT29، حيث تنكر الروس في هيئة مسؤول بولندي يتم سحبه من كييف و أبحث عن بيع سيارة BMW الفئة الخامسة الجديدة تقريبًا.
ووصفت الوحدة 42 العملية بأنها “مذهلة في نطاقها” لمهمة سرية للتهديد المستمر المتقدم (APT)، وكشفت أن مجموعة Cozy Bear استهدفت دبلوماسيين من ألبانيا والأرجنتين وكندا وقبرص والدنمرك وإستونيا واليونان والعراق وأيرلندا والكويت وقيرغيزستان ولاتفيا وليبيا وهولندا والنرويج وسلوفاكيا وإسبانيا والسودان وتركيا وتركمانستان والولايات المتحدة وأوزبكستان.
بعد مرور عام، عاد فريق الوحدة 42 إلى مكان الحادث من الجريمة فقط لتكتشف أن هناك موظفًا آخر غير موجود، هذه المرة في مكتب التحقيقات الفيدرالي في بوخارست. مركز إنفاذ القانون في جنوب شرق أوروبا تحاول وكالة (SELEC) بيع سيارة Audi Q7 Quattro SUV.
لكن هذه المرة، لا يتم تشغيل الحملة بواسطة Cozy Bear، ولكن بواسطة مجموعة APT مختلفة تمامًا، Fancy Bear، والمعروفة أيضًا باسم APT28 أو، في دليل وحدة 42، Fighting Ursa.
وقالت وحدة 42 إن هذه الحملة يبدو أنها تعود إلى مارس 2024 ولا يبدو أنها مرتبطة بحملة Cozy Bear. وقال الفريق إنه كان قادرًا على نسب حملة Audi لعام 2024 إلى Fancy Bear، وليس Cozy Bear، بدرجة متوسطة إلى عالية من الثقة.
“لقد استخدم ممثلو التهديد الروس لسنوات عديدة موضوعات الإغراء الاحتيالي المتمثلة في بيع السيارات الدبلوماسية. وتميل هذه الإغراءات إلى إيجاد صدى لدى الدبلوماسيين ودفع الأهداف إلى النقر على المحتوى الضار”، وفقًا للفريق.
“إن التشابه في التكتيكات يشير إلى سلوكيات معروفة لمجموعة Fighting Ursa. تشتهر مجموعة Fighting Ursa بإعادة استخدام التكتيكات الناجحة – حتى أنها تستغل نقاط الضعف المعروفة باستمرار لمدة 20 شهرًا بعد أن تم الكشف عن غطائها بالفعل”، كما قالوا.
في حملة Fancy Bear، تم استخدام خدمة Webhook.site المشروعة لإنشاء عنوان URL، وعند النقر عليه يتم عرض صفحة HTML ضارة. وعند النقر على عنوان URL، تقوم صفحة HTML أولاً بالتحقق مما إذا كان الكمبيوتر الزائر يعمل بنظام Windows، وإذا كان كذلك، فإنها تقوم بإنشاء أرشيف ZIP وتحاول فتحه باستخدام وظيفة النقر في JavaScript.
يحتوي هذا الأرشيف، المحفوظ باسم IMG-387470302099.zip، على ثلاثة ملفات تعمل معًا للتنزيل والتنفيذ البرامج الخبيثة HeadLace من Fancy Bear على نظام الضحية، مما يتيح للمجموعة الوصول بشكل أعمق إلى المنظمة المستهدفة.
وقالت الوحدة 42 إن استخدام Fancy Bear لخدمة ويب مشروعة في سلسلة هجماتها أعطى المنظمات المعرضة لخطر الوقوع ضحية فرصة قتالية للتقدم في حملاتها.
“نعتقد أن Fighting Ursa ستستمر في استخدام خدمات الويب المشروعة في بنيتها التحتية للهجوم”، كما قالوا. “للدفاع ضد هذه الهجمات، يجب على المدافعين الحد من الوصول إلى هذه الخدمات أو خدمات الاستضافة المماثلة حسب الضرورة. وإذا أمكن، يجب على المنظمات التدقيق في استخدام هذه الخدمات المجانية لتحديد ناقلات الهجوم المحتملة”.
هل اثنان من الدببة أفضل من واحد؟
في العادة، يُعتقد أن شركتي Cozy Bear وFancy Bear تعملان ضمن وكالات مختلفة في جهاز الاستخبارات الروسي.
يُعتقد أن شركة Cozy Bear مرتبطة بجهاز الاستخبارات الخارجية في موسكو (SVR)، الذي يقدم تقاريره مباشرة إلى الديكتاتور الروسي فلاديمير بوتن.
في هذه الأثناء، يرتبط “فانسي بير” في أغلب الأحيان بوكالة الاستخبارات العسكرية، المديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة في الاتحاد الروسي (GRU)، والتي تخضع للقيادة العسكرية الروسية.
ولكن كل من جهاز المخابرات الخارجية ومديرية المخابرات الرئيسية هما في حد ذاتهما وكالات خليفة لجهاز المخابرات السوفييتي في حقبة الحرب الباردة، ونظرا لأن أهدافهما تتوافق مع الأهداف الجيوسياسية الشاملة لروسيا، فليس من المستغرب أن يكون هناك بعض التداخل بين العمليتين.
في الواقع، تم ملاحظة تعاون كل من Cozy Bear وFancy Bear في الماضي، وفي بعض الأحيان عندما يحدث ذلك، يتم تعقبهما باعتبارهما السهوب الرمادية.
