المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) والوكالات الأمريكية الشريكة لها جهاز الأمن الوطني (وكالة الأمن القومي) و مكتب التحقيقات الفدرالي، نشروا اليوم تنبيهًا آخر يسلط الضوء على الاستغلال المستمر لنقاط الضعف، على نطاق واسع، من قبل جهات التهديد المرتبطة بالدولة الروسية.
ويحذر أحدث الاستشارة المنظمات المعرضة لخطر استهدافها من قبل جهاز المخابرات الخارجية في موسكو، SVR، لنشر التصحيحات بسرعة وتحديد أولويات تحديثات البرامج بمجرد توفرها.
يعد جهاز SVR واحدًا من عدد من الوكالات الروسية المشتبه في قيامها بتوفير المهام للمجموعة المعروفة باسم APT29، أو Cozy Bear. كان Cozy Bear في الخلف حادثة Solorigate/Sunburst التأثير على عملاء SolarWinds، واختراق اللجنة الوطنية الديمقراطية الأمريكية عام 2016، من بين أشياء أخرى كثيرة.
وقال بول تشيتشيستر، مدير عمليات المركز الوطني للأمن الإلكتروني: “إن الجهات الفاعلة السيبرانية الروسية مهتمة ولديها قدرة عالية على الوصول إلى الأنظمة غير المصححة عبر مجموعة من القطاعات، وبمجرد دخولها، يمكنها استغلال هذا الوصول لتحقيق أهدافها”.
وأضاف: “يتم تشجيع جميع المؤسسات على تعزيز دفاعاتها السيبرانية: مراعاة النصائح الواردة في النصائح وإعطاء الأولوية لنشر التصحيحات وتحديثات البرامج”.
وسلطت الوكالات الضوء على بعض أحدث التكتيكات التي تستخدمها شركة Cozy Bear لجمع المعلومات الاستخبارية الأجنبية، والتي تخصصت مؤخرًا في استهداف الهيئات الحكومية والدبلوماسية ومراكز الأبحاث وشركات التكنولوجيا والمؤسسات المالية.
ومن المعروف أنه يقوم بفحص الأنظمة التي تواجه الإنترنت للعثور على نقاط الضعف غير المصححة على نطاق واسع لاستغلالها بشكل انتهازي على أمل الحصول على مزيد من التنازلات في المستقبل.
على هذا النحو، قد تجد أي منظمة في أي قطاع – وليس فقط تلك المعرضة لخطر التجسس المستهدف – نفسها في مأزق حيث تستغل Cozy Bear أنظمتها الضعيفة لاستضافة البنية التحتية الضارة، أو تشغيل عمليات المتابعة من الحسابات المخترقة، أو المحورية. إلى شبكات أخرى.
وقد ظهر هذا بشكل أكثر شهرة في حادثة Sunburst، حيث قدمت شركة SolarWinds دون قصد نقطة انطلاق لشبكات الحكومة الأمريكية.
يوثق الاستشارة استخدام Cozy Bear المستمر لـ العديد من نقاط الضعف التي تم الكشف عنها علنًا في مجموعة متنوعة من منتجات الموردين في خدمة تدخلاتها.
يعود تاريخ بعض هذه المشكلات إلى أكثر من خمس سنوات وقد تم الكشف عنها جميعًا وتصحيحها. وهي تعمل بشكل جماعي على تمكين مجموعة واسعة من سيناريوهات الهجوم.
تجدر الإشارة بشكل خاص مؤخرًا إلى قضيتين تم تعيينهما للتسميات CVE-2022-27924 وCVE-2023-42793.
أول هذه ثغرة أمنية في حقن الأوامر في Zimbra يمكّن المستخدم غير المصادق من إدخال أوامر عشوائية في مثيل مستهدف، مما يتسبب في الكتابة فوق الإدخالات العشوائية المخزنة مؤقتًا. لقد استغلها Cozy Bear على نطاق واسع في مئات النطاقات حول العالم واستخدمها للوصول إلى بيانات اعتماد المستخدم وصناديق البريد دون الحاجة إلى التفاعل مع ضحاياه.
والثاني هو خطأ تعسفي في تنفيذ التعليمات البرمجية في JetBrains TeamCity الذي ينشأ من خلال المعالجة غير الآمنة لمسارات محددة تسمح بتجاوز المصادقة.
وقال الشركاء إنه بناءً على التكتيكات والتقنيات والإجراءات المعروفة (TTPs) الخاصة بـ Cozy Bear واستهدافها السابق، تتمتع العملية بالقدرة والاهتمام باستغلال CVEs الإضافية للوصول الأولي وتنفيذ التعليمات البرمجية عن بعد وتصعيد الامتيازات.
