قیمت چند مجوز تخفیف
امنیت کامپیوتر مایکروسافت هشدار داد که هکرهای روسی Seashell Blizzard...

مایکروسافت هشدار داد که هکرهای روسی Seashell Blizzard اهداف زیرساخت حیاتی را نقض می کنند

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

یک گروه هکر خطرناک مرتبط با روسیه که به نام Seashell Blizzard شناخته می شود، حملات خود را به زیرساخت های حیاتی در سراسر جهان تشدید کرده است و نگرانی هایی را در مورد عملیات های مخرب و جاسوسی سایبری طولانی مدت ایجاد کرده است. طبق هشدار اخیر مایکروسافت، این گروه نه تنها به سیستم‌های با ارزش نفوذ می‌کند، بلکه عمیقاً خود را برای حفظ کنترل طولانی‌مدت بر شبکه‌های در معرض خطر تعبیه می‌کند.

صدف بلیزارد یک بازیگر بدنام تهدید روسیه است

Seashell Blizzard که با نام‌های APT44، BlackEnergy Lite، Sandworm، Telebots و Voodoo Bear نیز ردیابی می‌شود، حداقل از سال 2009 یک تهدید سایبری قابل توجه بوده است. به طور گسترده اعتقاد بر این است که این گروه تحت آژانس اطلاعات نظامی روسیه، GRU (به ویژه واحد 74455) فعالیت می‌کند. Seashell Blizzard به دلیل حملات مخرب خود، از جمله باج افزار بدنام NotPetya که کسب و کارهای جهانی را در سال 2017 فلج کرد و بدافزار KillDisk که سیستم های حیاتی اوکراین را در سال 2015 هدف قرار داد، بدنام است.

در طول سال‌ها، Seashell Blizzard بخش‌های زیرساختی حیاتی مانند:

  • انرژی
  • تامین آب
  • نهادهای دولتی
  • شبکه های نظامی
  • مخابرات
  • حمل و نقل
  • تولید

این حملات تصادفی نیستند - آنها با اهداف نظامی روسیه، به ویژه در اوکراین، که در آن جنگ سایبری جزء کلیدی استراتژی درگیری گسترده‌تر روسیه بوده است، همسو هستند.

یک زیر گروه جدید با تمرکز بر دسترسی مداوم

آخرین گزارش مایکروسافت، ظهور زیرگروهی در Seashell Blizzard را نشان می‌دهد که حداقل چهار سال است که تحت رادار فعالیت می‌کند. این زیر گروه به یک ماموریت حیاتی اختصاص یافته است: دستیابی به دسترسی اولیه به سیستم های آسیب پذیر و ایجاد تداوم طولانی مدت. این امر هکرها را قادر می‌سازد تا ماه‌ها یا حتی سال‌ها کنترل سیستم‌های در معرض خطر را حفظ کنند و در هر لحظه آماده انجام حملات مخرب باشند.

این تلاش که کمپین BadPilot نام دارد، از سال 2021 ادامه دارد و بر نفوذ به اهداف با ارزش بالا برای تسهیل سازش های شبکه گسترده تر تمرکز دارد. روش‌های این زیرگروه به‌عنوان مخفیانه و بسیار فرصت‌طلب توصیف شده‌اند که بر آسیب‌پذیری‌های نرم‌افزارهای پرکاربرد و سیستم‌های رو به اینترنت تکیه دارند.

بهره برداری از آسیب پذیری های شناخته شده

مهاجمان از نقص های امنیتی شناخته شده در سیستم های محبوب سوء استفاده می کنند، از جمله:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • مجموعه همکاری زیمبرا (CVE-2022-41352)
  • سرور چت OpenFire (CVE-2023-32315)
  • سرور TeamCity Build (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • سرورهای JBOSS (CVE نامشخص)

هکرها از رویکرد تهاجمی «اسپری و دعا» استفاده می‌کنند و اینترنت را برای یافتن سیستم‌های آسیب‌پذیر اسکن می‌کنند و به طور دسته جمعی به آنها حمله می‌کنند. پس از ورود، آنها با استفاده از ابزارهایی مانند پوسته های وب و نرم افزار نظارت و مدیریت از راه دور (RMM) خود را جاسازی می کنند و از کنترل طولانی مدت بر روی سیستم های در معرض خطر اطمینان حاصل می کنند.

تکنیک های هشدار دهنده که برای حفظ کنترل استفاده می شود

هنگامی که یک سیستم در معرض خطر قرار می گیرد، زیرگروه چندین تکنیک پایداری را به کار می گیرد:

  • استقرار پوسته وب: فراهم کردن دسترسی درب پشتی برای کنترل از راه دور.
  • ابزارهای RMM: امکان دسترسی محتاطانه و استقرار بیشتر بدافزار.
  • Credential Harvesting: اصلاح صفحات ورود OWA و تنظیمات DNS برای سرقت اطلاعات کاربری.
  • تزریق جاوا اسکریپت: افزودن کدهای مخرب به پورتال های ورود برای جمع آوری نام های کاربری و رمز عبور.

    • در چندین مورد، این دسترسی مداوم قبل از حملات مخرب انجام شده است، و نشان می دهد که هکرها یک قابلیت دو منظوره - جاسوسی و خرابکاری - بسته به نیازهای نظامی و ژئوپلیتیک روسیه دارند.

    گسترش جهانی: ایالات متحده و بریتانیا اکنون در تلاقی هستند

    در حالی که اوکراین تمرکز اصلی عملیات سایبری Seashell Blizzard بوده است، گزارش مایکروسافت نشان می‌دهد که این زیرگروه در سال 2023 دامنه خود را گسترش داده و سازمان‌هایی را در ایالات متحده و بریتانیا هدف قرار داده است. این گسترش نشان دهنده یک تغییر خطرناک است و نشان می دهد که کتاب بازی جنگ سایبری روسیه در حال گسترش دامنه خود به کشورهای غربی است.

    یک تهدید مداوم و فزاینده

    مایکروسافت هشدار می دهد که این زیرگروه کند نمی شود. در واقع، احتمالاً به تکامل و استقرار تکنیک‌های نوآورانه برای نفوذ به شبکه‌ها در سراسر جهان ادامه خواهد داد. با ادامه جنگ روسیه در اوکراین و افزایش تنش‌های ژئوپلیتیکی، حملات سایبری علیه زیرساخت‌های حیاتی می‌تواند به پیامدهای ویرانگر در دنیای واقعی تبدیل شود.

    محافظت از سازمان خود در برابر کولاک صدفی

    سازمان‌ها در بخش‌های حیاتی باید اقدامات فوری برای دفاع در برابر این تهدید مداوم انجام دهند:

    • آسیب پذیری های شناخته شده را اصلاح کنید: اطمینان حاصل کنید که سیستم های دارای ScreenConnect، Fortinet، Exchange، Zimbra، OpenFire و سایر نرم افزارهای هدف به طور کامل به روز هستند.
    • تقویت امنیت شبکه: احراز هویت چند عاملی (MFA) را به کار بگیرید، دسترسی به سیستم های حساس را محدود کنید و فعالیت های غیرعادی را نظارت کنید.
    • نظارت بر پایداری: ممیزی های امنیتی منظم را برای شناسایی پوسته های وب غیرمجاز، ابزارهای RMM یا تغییرات در صفحات ورود و پیکربندی های DNS انجام دهید.
    • آمادگی واکنش به حادثه: با ایجاد یک طرح پاسخ جامع و اطمینان از ایمن بودن و آزمایش منظم نسخه‌های پشتیبان، برای حملات مخرب احتمالی آماده شوید.

    هشدار نهایی

    Seashell Blizzard و زیر گروه دسترسی اولیه آن یک خطر آشکار و فعلی برای زیرساخت های حیاتی در سطح جهانی است. پیگیری بی وقفه آنها برای دسترسی مداوم می تواند به عنوان یک پیشرو برای خرابکاری سایبری در مقیاس بزرگ عمل کند که می تواند شبکه های انرژی، منابع آب، سیستم های حمل و نقل و عملیات دولتی را مختل کند. آخرین یافته‌های مایکروسافت یادآور واضحی است: حمله سایبری بزرگ بعدی می‌تواند در کمین سیستم‌های حیاتی باشد و منتظر سیگنال باشد.

    بارگذاری...