مجموعة من القراصنة داخل وحدة الرملية الشهيرة في روسيا تخترق الشبكات الغربية
على مدار العقد الماضي ، ركزت الوحدة الإلكترونية الأكثر عدوانية في الكرملين ، والمعروفة باسم Sandworm ، حملاتها المتوقعة على عذاب أوكرانيا ، حتى أكثر من ذلك منذ غزو الرئيس الروسي فلاديمير بوتين على نطاق واسع لجار روسيا. الآن تحذر Microsoft من أن فريقًا داخل مجموعة القرصنة سيئة السمعة قد حولت استهدافها ، وعمل بشكل عشوائي على خرق الشبكات في جميع أنحاء العالم ، وفي العام الماضي ، بدا أنه يظهر اهتمامًا خاصًا بالشبكات في البلدان الغربية الناطقة باللغة الإنجليزية.
في يوم الأربعاء ، نشر فريق Microsoft التهديد للتهديدات بحثًا جديدًا في مجموعة داخل Sandworm بأن محللي الشركة يدعو Badpilot. تصف Microsoft الفريق بأنه “عملية وصول – تركز على خرق واكتساب موطئ قدم في شبكات الضحايا قبل تسليم هذا الوصول إلى المتسللين الآخرين داخل منظمة Sandworm” ، والتي تم تحديدها لباحثو الأمن لسنوات تم تحديدها كوحدة من روسيا. وكالة الاستخبارات العسكرية GRU. بعد الانتهاكات الأولية لـ Badpilot ، استخدم المتسللون الآخرون في Form Form Intricals للتحرك داخل شبكات الضحايا وتنفيذ تأثيرات مثل سرقة المعلومات أو إطلاق الهجمات الإلكترونية ، كما تقول Microsoft.
تصف Microsoft badpilot بأنها بدء حجم كبير من محاولات التسلل ، وتلقي شبكة واسعة ثم فرز النتائج للتركيز على ضحايا معينين. على مدار السنوات الثلاث الماضية ، تقول الشركة ، لقد تطورت جغرافيا استهداف المجموعة: في عام 2022 ، وضعت أنظارها بالكامل تقريبًا على أوكرانيا ، ثم وسعت اختراقها في عام 2023 إلى الشبكات في جميع أنحاء العالم ، ثم انتقلت مرة أخرى في عام 2024 إلى المنزل في المنزل في المنزل على الضحايا في الولايات المتحدة والمملكة المتحدة وكندا وأستراليا.
“We see them spraying out their attempts at initial access, seeing what comes back, and then focusing on the targets they like,†says Sherrod DeGrippo, Microsoft’s director of threat intelligence strategy. â € œ € ™ ™ reco واختيار ما هو منطقي التركيز عليه. وهم يركزون على تلك الدول الغربية.
لم تسمي Microsoft أي ضحايا محددة من تدخلات Badpilot ، لكنها ذكرت على نطاق واسع أن أهداف مجموعة Hacker قد شملت “طاقة ، النفط والغاز ، الاتصالات ، الشحن ، تصنيع الأسلحة ،” الحكومات الداخلية “على الأقل على الأقل على الحكومات الداخلية. وتقول Microsoft إن ثلاث مناسبات أدت عملياتها إلى الهجمات الإلكترونية التي تنشر البيانات التي تنفذها Sandworm ضد الأهداف الأوكرانية.
أما بالنسبة للتركيز الأكثر حداثة على الشبكات الغربية ، فإن ديجريبو من Microsoft يلمح إلى أن مصالح المجموعة من المحتمل أن تكون أكثر ارتباطًا بالسياسة. يقول ديجربو إن الانتخابات الجليدية على الأرجح سبب لذلك “. أعتقد أن هذا المشهد السياسي المتغير هو حافز لتغيير التكتيكات وتغيير الأهداف.
على مدار أكثر من ثلاث سنوات ، قامت Microsoft بتتبع Badpilot ، سعت المجموعة إلى الوصول إلى شبكات الضحايا باستخدام نقاط الضعف المعروفة ولكن غير المشوشة في البرامج التي تواجه الإنترنت ، واستغلال العيوب القابلة للاختراق في Microsoft Exchange and Outlook ، وكذلك التطبيقات من OpenFire ، JetBrains و Zimbra. في استهدافها للشبكات الغربية على مدار العام الماضي على وجه الخصوص ، تحذر Microsoft من أن Badpilot قد استغلت بشكل خاص ضعفًا في أداة الوصول عن بُعد ConnectWise ConnectRise و Fortinet Forticlient EMS ، وهو تطبيق آخر لإدارة برنامج الأمان في Fortinet مركزيًا على أجهزة الكمبيوتر.
بعد استغلال هذه الثغرات الأمنية ، وجدت Microsoft أن Badpilot عادةً ما تقوم بتثبيت البرامج التي تتيح لها الوصول المستمر إلى آلة الضحايا ، وغالبًا ما تكون مع أدوات الوصول عن بُعد مشروعة مثل Atera Agent أو Splashtop Remote Services. في بعض الحالات ، في تطور أكثر فريدة من نوعه ، تقوم أيضًا بإعداد جهاز كمبيوتر ضحية لتشغيل ما يسمى بخدمة البصل على شبكة عدم الكشف عن هويته TOR ، مما يحولها بشكل أساسي إلى خادم يتواصل عبر مجموعة من آلات الوكيل من TOR لإخفاء اتصالاتها.
اكتشاف المزيد من مدونة الواحة
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
