المملكة المتحدة المركز الوطني للأمن السيبراني انضم المركز الوطني للأمن الإلكتروني (NCSC) والهيئات المناظرة له في تحالف الاستخبارات Five Eyes إلى شركاء من جمهورية التشيك وإستونيا وألمانيا ولاتفيا وأوكرانيا لتحديد وحدة إلكترونية عسكرية روسية كانت تنفذ حملة مستمرة من الأنشطة الخبيثة على مدى السنوات الأربع الماضية.
نفذت الوحدة 29155، وهي جزء من المديرية العامة لهيئة الأركان العامة للقوات المسلحة في الاتحاد الروسي، أو GRU، عمليات اختراق متعددة لشبكات الكمبيوتر على مر السنين، ونشر أدوات مثل برنامج Whispergate الخبيث المستخدم في عمليات الحرب السيبرانية ضد أوكرانيا.
Whispergate، وهو برنامج ضار لا يختلف كثيرًا عن NotPetya، كان تم نشرها في جميع أنحاء أوكرانيا قبل غزو روسيا غير القانوني في فبراير 2022. يبدو للوهلة الأولى أنه يعمل مثل خزانة برامج الفدية، لكن نشاطه يخفي غرضه الحقيقي، وهو استهداف سجلات التمهيد الرئيسية للأنظمة للحذف.
كان من المعروف بالفعل أن Whispergate مرتبطة بأجهزة الاستخبارات في موسكو، ولكن هذه هي المرة الأولى التي يُنسب فيها استخدامها إلى عملية محددة من عمليات التهديد المستمر المتقدم (APT).
وقال مدير عمليات المركز الوطني للأمن الإلكتروني بول تشيتشيستر: “إن الكشف عن الوحدة 29155 كجهة فاعلة قادرة على شن هجمات إلكترونية يوضح الأهمية التي توليها الاستخبارات العسكرية الروسية لاستخدام الفضاء الإلكتروني لمواصلة حربها غير القانونية في أوكرانيا وأولويات الدولة الأخرى”.
“إن المملكة المتحدة، إلى جانب شركائها، ملتزمة بكشف الأنشطة السيبرانية الخبيثة الروسية وستواصل القيام بذلك. ويشجع المركز الوطني للأمن السيبراني المؤسسات بشدة على اتباع نصائح التخفيف والإرشادات الواردة في الاستشارة للمساعدة في الدفاع عن شبكاتها.”
الوحدة 29155، والمشار إليها أيضًا باسم الوحدة 161شارع من المرجح أن يتألف مركز التدريب المتخصص، والذي أطلق عليه باحثو التهديدات في القطاع الخاص أسماء مختلفة مثل Cadet Blizzard وEmber Bear (Bleeding Bear) وFrozenvista وUNC2589 وAUC-0056، من أفراد صغار في الخدمة الفعلية في GRU ولكن من المعروف أيضًا أنه يعتمد على مقاولين من جهات خارجية، بما في ذلك مجرمي الإنترنت المعروفين وممكنيهم، في خدمة عملياته. وهو يختلف إلى حد ما عن مجموعات التهديدات المتقدمة المستمرة المدعومة من GRU مثل الوحدة 26165 (المعروف أيضًا باسم الدب الفاخر) والوحدة 74455 (المعروف أيضًا باسم دودة الرمل).
قالت هيئة الأمن الإلكتروني الوطنية إن العمليات الإلكترونية لوحدة 29155 اختارت واستهدفت الضحايا في المقام الأول لجمع المعلومات لأغراض التجسس، لتشويه مواقعهم الإلكترونية التي تواجه الجمهور، مما يتسبب في أضرار سمعة الشركة من خلال سرقة وتسريب معلومات حساسة، وتخريب عملياتها اليومية.
وفقًا لمكتب التحقيقات الفيدرالي، أجرت الوحدة 29155 آلاف التدريبات على مسح النطاقات عبر العديد من الدول الأعضاء في حلف شمال الأطلسي والاتحاد الأوروبي، مع التركيز بشكل خاص على أجهزة الاستخبارات المركزية والحكومة والخدمات المالية والنقل والطاقة والرعاية الصحية. يقول الأمريكان وقد يكون مسؤولاً أيضًا عن أعمال تجسس جسدية بما في ذلك محاولات الانقلاب وحتى محاولات الاغتيال.
طريقة العمل
وتبحث الوحدة 29155 بشكل متكرر عن الثغرات الأمنية الشائعة المعلن عنها علناً في خدمة عمليات الاختراق الخاصة بها، وغالباً ما تحصل على نصوص استغلال من مستودعات GitHub العامة، ومن المعروف أنها استهدفت العيوب في Microsoft Windows Server وAtlassian Confluence Server وData Center وRed Hat، بالإضافة إلى منتجات الأمان من Dahua ومقرها الصين، وهي شركة مصنعة لكاميرات IP، وSophos.
إنها تفضل تكتيكات الفريق الأحمر والأدوات المتاحة للجمهور، بدلاً من الحلول المصممة خصيصًا، والتي من المرجح أنها أدت في الماضي إلى نسب بعض هجماتها الإلكترونية إلى مجموعات أخرى تتداخل معها.
وكجزء من هذا النشاط، تحافظ الوحدة 29155 على وجودها في مجتمع المجرمين الإلكترونيين السريين، حيث تدير حسابات على منتديات الويب المظلمة المختلفة والتي تستخدمها للحصول على أدوات مفيدة بما في ذلك البرامج الضارة والمحملات.
أثناء هجماتها، ستستخدم الوحدة 29155 عمومًا خدمة VPN لإخفاء هوية أنشطتها التشغيلية واستغلال نقاط الضعف في الأنظمة التي تواجه الإنترنت واستخدام الثغرات الأمنية الشائعة المذكورة أعلاه للحصول على الوصول الأولي.
بمجرد دخوله إلى بيئة الضحية، يستخدم Shodan للبحث عن أجهزة إنترنت الأشياء المعرضة للخطر، بما في ذلك كاميرات IP مثل كاميرات Dahua المذكورة أعلاه، ويستخدم نصوص الاستغلال للتحقق من هوية المستخدمين وكلمات المرور الافتراضية. ثم يحاول تنفيذ أوامر عن بعد عبر الويب لهذه الأجهزة المعرضة للخطر، والتي إذا تم تنفيذها بنجاح، تسمح لها بتفريغ إعدادات التكوين وبيانات الاعتماد الخاصة بها في نص عادي.
بعد تنفيذ عملية استغلال ناجحة على نظام الضحية، يمكن للوحدة 29155 بعد ذلك إطلاق حمولة Meterpreter باستخدام اتصال عكسي لبروتوكول التحكم في الإرسال (TCP) للتواصل مع البنية الأساسية للقيادة والتحكم (C2). لأغراض القيادة والتحكم، من المعروف أن الوحدة 29155 استخدمت عددًا من الخوادم الخاصة الافتراضية (VPSs) لاستضافة أدواتها التشغيلية، وإجراء أنشطة الاستطلاع، واستغلال البنية الأساسية للضحية وسرقة البيانات.
بمجرد وصولها إلى الشبكات الداخلية، لوحظت أن الوحدة 29155 تستخدم أدوات أنفاق نظام اسم المجال (DNS) لتوجيه حركة مرور شبكة IPv4، وتكوين وكلاء داخل البنية الأساسية للضحية وتنفيذ الأوامر داخل الشبكة باستخدام ProxyChains لتوفير المزيد من عدم الكشف عن الهوية. كما استخدمت أيضًا أداة الأنفاق مفتوحة المصدر GOST (عبر وكيل SOCKS5) المسماة java.
في عدد من الهجمات، لوحظ أن الوحدة 29155 تقوم باستخراج بيانات الضحايا إلى مواقع بعيدة باستخدام برنامج سطر الأوامر Rclone، فضلاً عن استخراج عمليات Windows المختلفة والتحف بما في ذلك تفريغات ذاكرة Local Security Authority Subsystem Service (LSASS)، وملفات Security Accounts Manager (SAM)، وملفات سجل أحداث SECURITY وSYSTEM. بالإضافة إلى ذلك، تقوم باختراق خوادم البريد الإلكتروني واستخراج التحف بما في ذلك رسائل البريد الإلكتروني عبر PowerShell.
تتوفر معلومات تقنية أكثر تعمقًا، بما في ذلك التحليل الجديد لـ Whispergate، وإرشادات التخفيف من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية في الإشعار الاستشاري الرئيسي، يُحث المدافعون على التعرف على عمل الوحدة 29155 واتباع التوصيات المنصوص عليها في الإشعار الاستشاري الكامل.
