مجموعة التهديد المتحالفة مع روسيا المعروفة باسم وينتر فيفرن تم اكتشافه وهو يستغل ثغرات البرمجة النصية عبر المواقع (XSS) في خوادم بريد الويب Roundcube في جميع أنحاء أوروبا في أكتوبر - والآن بدأ ظهور ضحاياه.
استهدفت المجموعة بشكل رئيسي البنية التحتية الحكومية والعسكرية والوطنية في جورجيا وبولندا وأوكرانيا، وفقًا لتقرير مجموعة Insikt Group من Recorded Future حول الحملة الذي صدر اليوم.
كما سلط التقرير الضوء على أهداف إضافية، بما في ذلك سفارة إيران في موسكو، وسفارة إيران في هولندا، وسفارة جورجيا في السويد.
باستخدام تقنيات الهندسة الاجتماعية المتطورة، استخدمت APT (التي يطلق عليها Insikt اسم TAG-70 والمعروفة أيضًا باسم TA473 وUAC-0114) استغلال Roundcube في يوم الصفر للحصول على وصول غير مصرح به إلى خوادم البريد المستهدفة عبر ما لا يقل عن 80 منظمة منفصلة، بدءًا من قطاعي النقل والتعليم إلى منظمات الأبحاث الكيميائية والبيولوجية.
ويعتقد أن الحملة قد تم نشرها لجمع معلومات استخباراتية حول الشؤون السياسية والعسكرية الأوروبية، وربما للحصول على مزايا استراتيجية أو تقويض الأمن والتحالفات الأوروبية، وفقًا لـ Insikt.
ويشتبه في أن المجموعة تقوم بحملات تجسس إلكتروني تخدم مصالح بيلاروسيا وروسيا، وهي نشطة منذ ديسمبر 2020 على الأقل.
الدوافع الجيوسياسية لـ وينتر فيفيرن للتجسس السيبراني
تم ربط حملة أكتوبر بالنشاط السابق لـ TAG-70 ضد خوادم البريد الحكومية في أوزبكستان، والتي أبلغت عنها مجموعة Insikt في فبراير 2023.
الدافع الواضح للاستهداف الأوكراني هو الصراع مع روسيا.
"في سياق الحرب المستمرة في أوكرانيا، قد تكشف خوادم البريد الإلكتروني المخترقة معلومات حساسة تتعلق بجهود أوكرانيا الحربية وتخطيطها، وعلاقاتها ومفاوضاتها مع الدول الشريكة أثناء سعيها للحصول على مساعدة عسكرية واقتصادية إضافية، [والتي] تكشف عن أطراف ثالثة متعاونة". وأشار تقرير Insikt إلى أن المحادثات مع الحكومة الأوكرانية بشكل خاص، والكشف عن الشقوق داخل التحالف الداعم لأوكرانيا.
وفي الوقت نفسه، يمكن أن يكون التركيز على السفارات الإيرانية في روسيا وهولندا مرتبطاً بدافع لتقييم التزامات إيران الدبلوماسية المستمرة ومواقفها في السياسة الخارجية، لا سيما بالنظر إلى تورط إيران في دعم روسيا في الصراع في أوكرانيا.
وعلى نحو مماثل، ربما كان التجسس الذي استهدف السفارة الجورجية في السويد ووزارة الدفاع الجورجية نابعاً من أهداف مماثلة تحركها السياسة الخارجية، خاصة وأن جورجيا أعادت تنشيط سعيها للحصول على عضوية الاتحاد الأوروبي والانضمام إلى منظمة حلف شمال الأطلسي في أعقاب التوغل الروسي في أوكرانيا في أوائل عام 2022. XNUMX.
وشملت الأهداف البارزة الأخرى المنظمات المشاركة في الصناعات اللوجستية والنقل، وهو أمر يستند إلى سياق الحرب في أوكرانيا، حيث أثبتت الشبكات اللوجستية القوية أهميتها لكلا الجانبين في الحفاظ على قدرتهما على القتال.
الدفاع عن التجسس السيبراني أمر صعب
وقد تزايدت حملات التجسس الإلكتروني: في وقت سابق من هذا الشهر، تم العثور على تهديدات متقدمة متطورة روسية أطلقت حملة هجوم PowerShell المستهدفة ضد الجيش الأوكراني، في حين استهدفت APT روسية أخرى، Turla، المنظمات غير الحكومية البولندية باستخدام برامج ضارة مستتر جديدة.
أوكرانيا لديها أيضا شنت هجماتها الإلكترونية ضد روسيااستهدفت خوادم شركة M9 Telecom، مزود خدمة الإنترنت في موسكو، في يناير/كانون الثاني، ردًا على الاختراق المدعوم من روسيا لشركة Kyivstar للهاتف المحمول.
لكن تقرير Insikt Group أشار إلى أن الدفاع ضد مثل هذه الهجمات قد يكون أمرًا صعبًا، خاصة في حالة استغلال ثغرات يوم الصفر.
ومع ذلك، يمكن للمؤسسات التخفيف من تأثير التسوية من خلال تشفير رسائل البريد الإلكتروني والنظر في أشكال بديلة للاتصالات الآمنة لنقل المعلومات الحساسة بشكل خاص.
من المهم أيضًا التأكد من تصحيح جميع الخوادم والبرامج وتحديثها باستمرار، ويجب على المستخدمين فتح رسائل البريد الإلكتروني الواردة من جهات الاتصال الموثوقة فقط.
يجب على المؤسسات أيضًا الحد من كمية المعلومات الحساسة المخزنة على خوادم البريد من خلال ممارسة النظافة الجيدة وتقليل الاحتفاظ بالبيانات وتقييد المعلومات والمحادثات الحساسة إلى أنظمة عالية المستوى أكثر أمانًا كلما أمكن ذلك.
وأشار التقرير أيضًا إلى أن الكشف المسؤول عن نقاط الضعف، وخاصة تلك التي تستغلها الجهات الفاعلة في مجال التهديدات المستمرة المتقدمة مثل TAG-70، يعد أمرًا بالغ الأهمية لعدة أسباب.
أوضح محلل استخبارات التهديدات في مجموعة Insikt Group التابعة لشركة Recorded Future عبر البريد الإلكتروني أن هذا النهج يضمن تصحيح الثغرات الأمنية وتصحيحها بسرعة قبل أن يكتشفها الآخرون ويستغلونها، ويتيح احتواء عمليات الاستغلال بواسطة مهاجمين متطورين، مما يمنع الضرر الأوسع والأسرع.
وأوضح المحلل: "في نهاية المطاف، يعالج هذا النهج المخاطر المباشرة ويشجع التحسينات طويلة المدى في ممارسات الأمن السيبراني العالمية".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
