قراصنة روس يستهدفون شركات أسلحة موردة لأوكرانيا
تستهدف مجموعة القراصنة الروسية سيئة السمعة Fancy Bear شركات الأسلحة التي تزود أوكرانيا بمعدات الأسلحة. وهذه هي نتيجة دراسة حديثة أجرتها شركة الأمن الألمانية EST في مدينة يينا.
وبحسب الدراسة، استهدفت الهجمات الإلكترونية في المقام الأول مصنعي تكنولوجيا الأسلحة السوفييتية في بلغاريا ورومانيا وأوكرانيا، والتي تلعب دورا رئيسيا في الدفاع ضد الهجمات الروسية في أوكرانيا. واستهدفت الهجمات أيضًا شركات أسلحة في أفريقيا وأميركا الجنوبية.
وتنسب إلى مجموعة Fancy Bear، المعروفة أيضًا باسم Sydnet وAPT28، الهجمات الإلكترونية على البرلمان الألماني (البوندستاغ) في عام 2015، والسياسية الأمريكية هيلاري كلينتون (2016) ومقر الحزب الاشتراكي الديمقراطي (2023). ويقول الخبراء إن المجموعة هي جزء من استراتيجية أوسع نطاقا للمخابرات الروسية لاستخدام الهجمات الإلكترونية كوسيلة للتأثير السياسي وزعزعة الاستقرار. وبالإضافة إلى التجسس، تشمل الاستراتيجية أيضًا نشر حملات التضليل ضد الديمقراطيات الغربية.
في حملة التجسس الحالية، والتي تسمى عملية RoundPress، استغل المتسللون نقاط الضعف في برامج البريد الإلكتروني الشائعة المستندة إلى المتصفح، بما في ذلك RoundCube، وZimbra، وHowrd، وmDaemon. وبحسب الدراسة، كان من الممكن إصلاح العديد من الثغرات الأمنية من خلال الصيانة المناسبة للبرامج. ولكن في إحدى الحالات، كانت الشركات المتضررة عاجزة فعليا لأن المهاجمين تمكنوا من استغلال ثغرة أمنية غير معروفة سابقا في برنامج mDaemon والتي لم تتمكن الشركات من إصلاحها في البداية.
وبحسب الدراسة، بدأت الهجمات عادة برسائل تصيد احتيالي متخفية في صورة تقارير إخبارية من مصادر إعلامية تبدو موثوقة مثل صحيفة كييف بوست وصحيفة نيوز بي جي البلغارية. بمجرد فتح البريد الإلكتروني في المتصفح، يتم تنشيط رمز خبيث مقنع يتجاوز مرشحات البريد العشوائي بنجاح.
ومن خلال تحليل الهجمات، تمكن خبراء من شركة الأمن الألمانية EST من تحديد البرنامج الخبيث المستخدم، SpyPress.Daemon. وبحسب البيانات، لا يستطيع هذا البرنامج مراقبة بيانات الاعتماد وتتبع رسائل البريد الإلكتروني فحسب، بل يمكنه أيضًا تجاوز المصادقة الثنائية، وهو إجراء أمني إضافي عند تسجيل الدخول إلى الحسابات عبر الإنترنت أو الوصول إلى البيانات الحساسة. لا يسمح هذا الإجراء بالوصول إلى الحسابات أو البيانات عبر كلمة مرور فحسب، بل يتطلب أيضًا إثباتًا إضافيًا للهوية. ومع ذلك، تمكن قراصنة Fancy Bear في عدة حالات من تجاوز المصادقة الثنائية والحصول على وصول دائم إلى صناديق البريد الإلكتروني باستخدام ما يسمى “كلمات مرور التطبيقات”.
قال ماثيو فو، الباحث في معهد EST: “تستخدم العديد من الشركات خوادم بريد إلكتروني قديمة… إن مجرد عرض رسالة بريد إلكتروني في متصفح قد يكون كافياً لتشغيل تعليمات برمجية ضارة دون أن ينقر المتلقي في أي مكان”.
