مايكروسوفت: قراصنة مرتبطون بالمخابرات الروسية يحتالون على مؤسسات حكومية

قالت شركة مايكروسوفت إن مجموعة قرصنة يجري تتبعها باسم APT29 ومرتبطة بجهاز المخابرات الخارجية الروسي، استهدفت في هجمات للتصيد الاحتيالي عبر خدمة (تيمز) Teams، عشرات المنظمات في جميع أنحاء العالم، ومن ذلك: الوكالات الحكومية.

وكشفت مايكروسوفت يوم الخميس أن تحقيقها الحالي يشير إلى أن هذه الحملة قد أثرت فيما لا يقل عن 40 منظمة عالمية فريدة.

ورجّحت الشركة أن تكون المنظمات المُستهدَفة في هذا النشاط تشير إلى أن أهداف المجموعة تركزت في المنظمات الحكومية وغير الحكومية، وخدمات تقنية المعلومات، والتصنيع، وقطاعات الإعلام.

واستخدم ممثلو التهديد مستأجري خدمة (مايكروسوفت 365) المخترقين لإنشاء نطاقات جديدة للدعم الفني وإرسال رسائل للدعم، وذلك في محاولة لخداع مستخدمي المؤسسات المستهدفة باستخدام تكتيكات الهندسة الاجتماعية.

ووفقًا لنشرة مايكروسوفت الأمنية، فقد كان الهدف النهائي للجهات الفاعلة في التهديد هو سرقة بيانات اعتماد المستخدمين المستهدفين.

وأفادت الشركة بأنها نجحت في منع مجموعة التهديد الروسية من استخدام النطاقات في هجمات أخرى وتعمل الآن بنشاط لمعالجة تأثير الحملة والتخفيف منه.

يُشار إلى أن مايكروسوفت كانت قد رفضت قبل مدة معالجة مشكلة أمنية في خدمة مؤتمرات الفيديو تيمز اكتشفها باحثو شركة أمن المعلومات (جمبسيك) Jumpsec، وهي المشكلة التي قد تسمح لأي شخص بتجاوز القيود المفروضة على الملفات الواردة من المستأجرين الخارجيين باستخدام الأداة المطورة بلغة بايثون، (تيمز فيشر) TeamsPhisher، التي طورها (أليكس ريد)، عضو فريق Red في البحرية الأمريكية.

وعندما أبلغت JumpSec عن الخطأ في شهر حزيران/ يونيو الماضي، قالت مايكروسوفت إن الخلل «لا يفي بمعايير الخدمة الفورية».

ويُشار إلى أن هجوم الهندسة الاجتماعية لمجموعة القرصنة APT29 أثر أيضًا في الوكالات الحكومية، مما سلط الضوء على التأثير الكبير الذي يمكن أن تُحدثه مثل هذه الهجمات، حتى في الكيانات المحمية جيدًا.

وكان قسم القرصنة التابع لجهاز المخابرات الخارجية الروسية قد دبّر هجومًا لسلسلة التوريد الخاصة بـ SolarWinds الذي أدى إلى اختراق العديد من الوكالات الفيدرالية الأمريكية قبل ثلاث سنوات.

ومنذ تلك الحادثة، تسللت مجموعة القرصنة هذه أيضًا إلى شبكات المنظمات الأخرى باستخدام برامج ضارة خفية، ومن ذلك: (تريل بليزر) TrailBlazer، مما سمح لها بالبقاء دون أن تُكتشف لسنوات.

وفي الآونة الأخيرة، كشفت مايكروسوفت أن مجموعة القرصنة تستخدم برامج ضارة جديدة قادرة على السيطرة على (خدمات اتحاد الدليل النشط) ADFS لتسجيل الدخول كأي مستخدم في أنظمة ويندوز.

وعلاوة على ذلك، فقد استهدفت المجموعة حسابات (مايكروسوفت 365) التي تنتمي إلى كيانات في دول الناتو كجزء من جهودهم للوصول إلى المعلومات المتعلقة بالسياسة الخارجية.

وبالإضافة إلى ذلك، كانت مجموعة القرصنة وراء سلسلة من حملات التصيد الاحتيالي التي استهدفت صراحةً الحكومات والسفارات والمسؤولين الرفيعي المستوى في جميع أنحاء أوروبا.