المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) أصدرت إشعارًا رسميًا يعزى سلسلة من الهجمات الإلكترونية المعادية باستخدام مجموعة متنوعة من البرامج الضارة التي تسمى الغريبة الأصلية للدولة الروسية التي تعمل تهديد مستمر متقدم (APT) مجموعة الفهم الدب.
تم تصميم الغريبة الأصلية لسرقة بيانات اعتماد تسجيل الدخول والرموز الخاصة بحسابات البريد الإلكتروني للضحايا ، مما يسمح للجواسيس السيبراني الروسي بإقامة وصول طويل الأجل إلى أهداف المراقبة الخاصة بهم.
يتم تشغيل الدب الهوى ، الذي يمر بـ APT28 في بعض مصفوفات التهديد ، كجزء من 85ذ مركز الخدمات الخاص الرئيسي ، الوحدة العسكرية 26165 ، وأجيب في النهاية على GRU ، وكالة الاستخبارات الخلف إلى KGB من أسطورة الحرب الباردة.
وقال بول تشيتشيستر ، مدير عمليات NCSC: “إن استخدام البرامج الضارة الغريبة الأصيلة يدل على استمرار وتطور التهديد السيبراني الذي يمثله GRU الروسي”.
“أظهرت تحقيقات NCSC في أنشطة GRU على مدار سنوات عديدة أن المدافعين عن الشبكة يجب ألا يأخذوا هذا التهديد كأمر مسلم به وأن إجراء المراقبة والحماية ضروري للدفاع عن الأنظمة.
وقال تشيتشيستر: “سنستمر في استدعاء النشاط السيبراني الخبيث الروسي ونشجع بقوة المدافعين عن الشبكة على اتباع المشورة المتاحة على موقع NCSC”.
من خلال العمل مع NCC Group ، التي قدمت عينات من الغريبة الأصلية ، أجرى خبراء NCSC تحليلًا مطولًا للبرامج الضارة – يمكن قراءة هذا بالكامل هنا – الذي يمتزج مع النشاط اليومي المشروع لتمكين الدب الهوى من الحفاظ على وصول نقطة النهاية المستمرة إلى حسابات Microsoft Cloud.
تم استخدام البرامج الضارة على نطاق واسع منذ حوالي عام 2023 ، ويتم تشغيلها ضمن عمليات Microsoft Outlook حيث تعرض مطالبات تسجيل الدخول الخبيثة إلى هدفها من أجل جعلهم يدخلون بيانات اعتمادهم ، والتي يتم اعتراضها بعد ذلك مع رموز مصادقة OAUTH 2.0 لمختلف التطبيقات بما في ذلك Exchange Online و SharePoint و OneDrive.
وقالت NCSC إنها تم تصميمها بذكاء لاستغلال الألفة المتزايدة بين المستخدمين النهائيين مع مطالبات مصادقة Microsoft الأصلية ، بما في ذلك توليد مطالبات من داخل Outlook ، والتأكد من عدم عرضها بشكل متكرر.
لا تتواصل الغريبة الأصلية مع أي بنية تحتية للسيطرة والتحكم (C2) ولا يمكنها تلقي مهام إضافية. يتحدث فقط إلى الخدمات المشروعة ، مما يعني أنه عندما يكون من الصعب للغاية اختياره – على سبيل المثال ، فإنه يخلص من بيانات ضحاياها عن طريق إرسال رسائل بريد إلكتروني من الحساب المعرض للخطر إلى عنوان بريد إلكتروني يسيطر عليه Fancy Bear – لا تظهر رسائل البريد الإلكتروني المرسلة هذه في مجلد العناصر المرسلة للضحية.
قالت الوكالة إن “الفكر الهام” قد دخل في تصميم الغريبة الأصلية لضمان خلطها مع النشاط العادي. من بين أمور أخرى ، يكون وجوده على القرص محدودًا ، ويخزن البيانات في مواقع التسجيل الخاصة بـ Outlook ، وتتضمن قاعدة الشفرة الخاصة به رمز مكتبة مصادقة Microsoft الأصلي كطريقة للتشويش.
وقال محللو NCSC: “من الواضح أن نية البرامج الضارة هي الوصول المستمر إلى حسابات البريد الإلكتروني للضحية. وهذا يسلط الضوء على ميزة مراقبة المستأجر لتسجيل الدخول المشبوه”.
العقوبات
يأتي هذا الإسناد إلى جانب الإعلان عن عقوبات أوسع ضد ثلاث وحدات GRU – بما في ذلك الوحدة 26165 – و 18 ضابطًا ووكلاء يزعمون أنه يدير عمليات تدخل الإنترنت والمعلومات لدعم الأهداف الجيوسياسية والعسكرية الروسية.
من بين أولئك الذين تمت الموافقة عليه هم ضباط المخابرات العسكرية في GRU الذين استهدفوا جهاز يوليا سكريبال ، ابنة العميل المزدوج سيرجي سكريبال ، قبل السمعة. محاولة تسمم نوفتشوك الفاشلة ضدهم في عام 2018 التي ادعت حياة وطني بريطاني ، دون ستورغس.
وقال وزير الخارجية ديفيد لامي: “إن جواسيس جرو يديرون حملة لزعزعة استقرار أوروبا ، وتقويض سيادة أوكرانيا وتهدد سلامة المواطنين البريطانيين”.
“يجب أن يكون الكرملين بلا شك: نرى ما يحاولون القيام به في الظل ولن نتسامح مع ذلك. لهذا السبب نتخذ إجراءات حاسمة مع العقوبات ضد الجواسيس الروس.
متحدثًا لدعم تصرفات المملكة المتحدة ، أدان متحدث باسم الناتو أنشطة إلكترونية خبيثة مستمرة في روسيا ، مشيرًا إلى سمات أخرى تم تقديمها إلى Fancy Bear ، والتي تم استدعاءها في وقت سابق من هذا العام لاستهداف المنظمات الخضراء والتكنولوجية الغربية المعنية لدعم الدفاع عن أوكرانيا.
“نحن ندعو روسيا إلى إيقاف أنشطتها الإلكترونية والهجينة المزعزعة للاستقرار. هذه الأنشطة تثبت تجاهل روسيا لإطار الأمم المتحدة لسلوك الدولة المسؤول في الفضاء الإلكتروني ، والتي تدعي روسيا دعمها” ، قال متحدث باسم.
“إن تصرفات روسيا لن تردع دعم الحلفاء لأوكرانيا ، بما في ذلك المساعدة الإلكترونية من خلال آلية تالين وتحالف تكنولوجيا المعلومات. سنستمر في استخدام الدروس المستفادة من الحرب ضد أوكرانيا في مواجهة النشاط السيبراني الروسي الخبيث.”
