عرض خصم التراخيص المتعددة
أمن الكمبيوتر مايكروسوفت تحذر: قراصنة Seashell Blizzard الروس يخترقون...

مايكروسوفت تحذر: قراصنة Seashell Blizzard الروس يخترقون أهداف البنية التحتية الحيوية

بواسطة Mura في أمن الكمبيوتر
ترجمة الى:
العربية

لقد كثفت مجموعة قرصنة خطيرة مرتبطة بروسيا تُعرف باسم Seashell Blizzard هجماتها على البنية التحتية الحيوية في جميع أنحاء العالم، مما أثار المخاوف بشأن التجسس السيبراني والعمليات المدمرة طويلة الأمد. ووفقًا لتحذير حديث من Microsoft، فإن هذه المجموعة لا تتسلل إلى أنظمة عالية القيمة فحسب، بل إنها تتوغل أيضًا بعمق للحفاظ على السيطرة طويلة الأجل على الشبكات المخترقة.

Seashell Blizzard هي جهة تهديد روسية سيئة السمعة

كانت Seashell Blizzard، التي تُعرف أيضًا باسم APT44 وBlackEnergy Lite وSandworm وTelebots وVoodoo Bear، تشكل تهديدًا إلكترونيًا كبيرًا منذ عام 2009 على الأقل. ويُعتقد على نطاق واسع أن المجموعة تعمل تحت إشراف وكالة الاستخبارات العسكرية الروسية (GRU) (وتحديدًا الوحدة 74455). تشتهر Seashell Blizzard بهجماتها المدمرة، بما في ذلك برنامج الفدية NotPetya سيئ السمعة الذي شل الشركات العالمية في عام 2017 وبرنامج KillDisk الخبيث الذي استهدف الأنظمة الأوكرانية الحرجة في عام 2015.

على مر السنين، استهدفت Seashell Blizzard قطاعات البنية التحتية الحيوية مثل:

  • طاقة
  • إمدادات المياه
  • المؤسسات الحكومية
  • الشبكات العسكرية
  • الاتصالات السلكية واللاسلكية
  • مواصلات
  • تصنيع

إن هذه الهجمات ليست عشوائية - بل إنها تتوافق بشكل وثيق مع الأهداف العسكرية الروسية، وخاصة في أوكرانيا، حيث كانت الحرب السيبرانية عنصرا رئيسيا في استراتيجية الصراع الأوسع نطاقا التي تنتهجها روسيا.

مجموعة فرعية جديدة تركز على الوصول المستمر

يسلط أحدث تقرير لشركة مايكروسوفت الضوء على ظهور مجموعة فرعية داخل Seashell Blizzard تعمل تحت الرادار منذ أربع سنوات على الأقل. هذه المجموعة الفرعية مخصصة لمهمة بالغة الأهمية: الحصول على إمكانية الوصول الأولية إلى الأنظمة المعرضة للخطر وإنشاء استمرارية طويلة الأجل. يتيح هذا للمتسللين الحفاظ على السيطرة على الأنظمة المخترقة لشهور أو حتى سنوات، على استعداد لشن هجمات تخريبية في أي لحظة.

يُطلق على هذه الحملة اسم BadPilot ، وهي مستمرة منذ عام 2021، وتركز على التسلل إلى أهداف عالية القيمة لتسهيل اختراقات أوسع للشبكة. وتوصف أساليب المجموعة الفرعية بأنها خفية وانتهازية للغاية، وتعتمد على نقاط الضعف في البرامج المستخدمة على نطاق واسع والأنظمة التي تواجه الإنترنت.

استغلال الثغرات الأمنية المعروفة

يستغل المهاجمون ثغرات أمنية معروفة في الأنظمة الشائعة، بما في ذلك:

  • برنامج ConnectWise ScreenConnect (CVE-2024-1709)
  • برنامج Fortinet FortiClient EMS (CVE-2023-48788)
  • مايكروسوفت إكستشينج (CVE-2021-34473)
  • مجموعة تعاون Zimbra (CVE-2022-41352)
  • خادم الدردشة OpenFire (CVE-2023-32315)
  • خادم بناء TeamCity (CVE-2023-42793)
  • مايكروسوفت أوت لوك (CVE-2023-23397)
  • خوادم JBOSS (CVE غير محدد)

ويستخدم المتسللون أسلوباً عدوانياً في البحث عن الأنظمة الضعيفة على شبكة الإنترنت ومهاجمتها بشكل جماعي. وبمجرد دخولهم إلى الشبكة، يقومون بدمج أنفسهم باستخدام أدوات مثل قشور الويب وبرامج المراقبة والإدارة عن بعد، مما يضمن السيطرة على الأنظمة المعرضة للخطر على المدى الطويل.

تقنيات التنبيه المستخدمة للحفاظ على السيطرة

بمجرد اختراق النظام، تقوم المجموعة الفرعية بنشر تقنيات الثبات المتعددة:

  • عمليات نشر Web Shell: توفير الوصول الخلفي للتحكم عن بعد.
  • أدوات RMM: تسمح بالوصول السري ونشر المزيد من البرامج الضارة.
  • حصاد بيانات الاعتماد: تعديل صفحات تسجيل الدخول OWA وإعدادات DNS لسرقة بيانات اعتماد المستخدم.
  • حقن JavaScript: إضافة تعليمات برمجية ضارة إلى بوابات تسجيل الدخول لجمع أسماء المستخدمين وكلمات المرور.

    • وفي عدة حالات، سبق هذا الوصول المستمر هجمات مدمرة، مما يشير إلى أن المتسللين يحافظون على قدرة مزدوجة الغرض - التجسس والتخريب - اعتمادًا على الاحتياجات العسكرية والجيوسياسية الروسية.

    التوسع العالمي: الولايات المتحدة والمملكة المتحدة الآن في مرمى النيران

    في حين كانت أوكرانيا هي المحور الرئيسي لعمليات Seashell Blizzard السيبرانية، يكشف تقرير Microsoft أن هذه المجموعة الفرعية وسعت نطاقها في عام 2023، مستهدفة المنظمات في الولايات المتحدة والمملكة المتحدة. يشير التوسع إلى تحول خطير، مما يشير إلى أن دليل الحرب السيبرانية الروسي يوسع نطاقه ليشمل الدول الغربية.

    التهديد المستمر والمتصاعد

    وتحذر شركة مايكروسوفت من أن هذه المجموعة الفرعية لن تتباطأ. بل إنها من المرجح أن تستمر في التطور ونشر تقنيات مبتكرة للتسلل إلى الشبكات في مختلف أنحاء العالم. ومع استمرار الحرب الروسية في أوكرانيا وتصاعد التوترات الجيوسياسية، فإن الهجمات الإلكترونية ضد البنية الأساسية الحيوية قد تتصاعد إلى عواقب مدمرة في العالم الحقيقي.

    حماية مؤسستك من عاصفة الأصداف البحرية

    يتعين على المنظمات في القطاعات الحيوية أن تتخذ إجراءات فورية للدفاع ضد هذا التهديد المستمر:

    • تصحيح الثغرات الأمنية المعروفة: تأكد من تحديث الأنظمة التي تعمل بنظام ScreenConnect وFortinet وExchange وZimbra وOpenFire والبرامج المستهدفة الأخرى بشكل كامل.
    • تعزيز أمان الشبكة: نشر المصادقة متعددة العوامل (MFA)، وتقييد الوصول إلى الأنظمة الحساسة، ومراقبة النشاط غير المعتاد.
    • مراقبة الاستمرارية: قم بإجراء عمليات تدقيق أمنية منتظمة للكشف عن قذائف الويب غير المصرح بها، أو أدوات RMM، أو التعديلات على صفحات تسجيل الدخول وتكوينات DNS.
    • الاستعداد للاستجابة للحوادث: الاستعداد للهجمات التخريبية المحتملة من خلال تطوير خطة استجابة شاملة والتأكد من تأمين النسخ الاحتياطية واختبارها بانتظام.

    تحذير نهائي

    إن Seashell Blizzard ومجموعتها الفرعية التي تمكنت من الوصول إلى البيانات تمثل خطراً واضحاً وحاضراً يهدد البنية الأساسية الحيوية على مستوى العالم. وقد يعمل سعيها الدؤوب إلى الوصول المستمر إلى البيانات كمقدمة لتخريب إلكتروني واسع النطاق، قادر على تعطيل شبكات الطاقة، وإمدادات المياه، وأنظمة النقل، والعمليات الحكومية. وتشكل أحدث النتائج التي توصلت إليها شركة مايكروسوفت تذكيراً صارخاً: فقد يكون الهجوم الإلكتروني الرئيسي التالي كامناً بالفعل داخل الأنظمة الحيوية، في انتظار الإشارة للهجوم.

    جار التحميل...