هکرهایی که برای استخبارات نظامی روسیه کار می کنند مدتهاست به هدف قرار دادن صدها روز و بدافزارها برای هدف قرار دادن قربانیان خود اعتماد می کنند ، اما در سال گذشته آنها این کار را ساده نگه داشته اند – با استفاده از حساب های ایمیل قبلاً هک شده برای ارسال طیف گسترده ای از تلاش های فیشینگ ، طبق تحقیقات جدید از شرکت امنیتی Trend Micro.
از زمان حداقل ماه مه سال گذشته ، این گروه معروف به Fancy Bear ، APT28 یا Pawn Storm ، از حساب های ایمیل هک شده متعلق به پرسنل با مشخصات بالا که در شرکت های دفاعی کار می کنند استفاده کرده است. خاورمیانه برای اجرای این عملیات ، طبق گفته های Feike Hacquebord ، یک محقق ارشد تهدید در Trend Micro.
"این بازیگر با استفاده از گزینه OpenVPN یک ارائه دهنده VPN تجاری به یک سرور اختصاصی متصل می شود و سپس با استفاده از اعتبار نامه الکترونیکی به خطر بیافتد. اسپم اعتبار را از طریق ارائه دهنده خدمات ایمیل برای تجارت ، "Hacquebord در تحقیق می نویسد.
این گروه ، که وزارت دادگستری ایالات متحده با مدیر اطلاعات اصلی روسیه در ارتباط است. از دو سال پس از حمله سال 2016 در کمیته ملی دموکراتیک ، از دفتر ستاد کل روسیه (GRU) استفاده کرد ، مدت ها است که برای منافع سیاسی و اقتصادی مسکو برای انجام جاسوسی علیه وزارتخانه های دفاعی و اشخاص نظامی متمرکز شده است.
اما خرس فانتزی نیز بوده است. به گفته Trend Micro ، تلاش های فیشینگ با استفاده از آدرس های ایمیل هک شده از طرف دولت ، مالی ، آب و برق و بخش حمل و نقل در امارات متحده عربی ، هند ، پاکستان ، اردن و ایالات متحده ، طبق گفته Trend Micro ، نشان می دهد که این گروه دارای مصالحه قبلاً موفقیت آمیز زیادی است. هاكبورد گفت:
هنوز مشخص نیست كه چرا گروه هكی روسی كه از سال 2004 فعال است ، می تواند برخی از جنگ های صلیبی موفق خود را آشكار كند تا بتواند این اقدامات را انجام دهد.
"پاون طوفان می تواند تلاش كند. برای جلوگیری از فیلتر کردن با هزینه ساخت برخی از مصالحه موفقیت آمیز آنها برای شرکتهای امنیتی ، "Hacquebord گفت. "با این وجود ، ما متوجه تغییر قابل توجهی در تحویل های ورودی موفقیت آمیز کمپین های اسپم گروه نشدیم ، و درک دلیل منطقی تغییر این روش را دشوار ساختیم."
هاکبورد گفت که او مشکوک است که یافته های جدید Trend Micro نشان می دهد که ممکن است Fancy Bear به تکنیکهای هدفمندی که به نرم افزارهای مخرب متکی نیستند ، اعتماد کنید ، و این ممکن است نشان دهد که GRU چگونه برنامه های خود را انجام می دهد.
Fancy Bear لزوما استفاده از بدافزارها را برای هدف قرار دادن قربانیان خود رها نکرده است – این گروه تابستان گذشته از بدافزار استفاده می کردند. همانطور که CyberScoop برای اولین بار گزارش داد ، ملل آسیای میانه ، نهادهای دیپلماتیک و سازمان های امور خارجه را هدف قرار دهید. این گروه همچنین در ماه های اخیر سازمان های مربوط به ورزش ، بویژه نهادهای مرتبط با المپیک را قبل از المپیک برنامه ریزی شده توکیو در سال 2020 هدف قرار داده است ، و طبق تحقیقات مایکروسافت ممکن است از بد افزار برای این کار استفاده کرده است.
علاقه این گروه به استفاده از با این وجود ، سال گذشته میلادی ایمیل های به خطر انداخته شده برای اجرای مبارزات انتخاباتی خود را به خطر انداخته است ، اما همزمان با تلاش های خود برای سوء استفاده از تنظیمات ساده اینترنت وسایل وسایل و فن آوری اداری برای نقض حساب های ممتاز.
چگونه روسیه دسترسی به حساب کاربری خود را به سرقت برد
Trend Micro دید کاملی در مورد چگونگی استفاده دولت روسیه از حساب های ایمیل به خطر افتاده استفاده شده در این کارزارها دارد ، اما این امکان وجود دارد که Fancy Bear در یک سری از حوادث ناخواسته به زور دسترسی داشته باشد.
سال گذشته ، به عنوان مثال ، این گروه در جستجوی ایمیل بود. به گفته Trend Micro ، سرورهای مایکروسافت Exchange Autodiscover در سرتاسر جهان در تلاش برای سوء استفاده از اعتبار نیرو و استخراج داده های ایمیل. در اواسط ماه آگوست ، این شرکت می گوید GRU ابراز علاقه قابل توجهی به یک دولت ناشناس در خاور میانه و نهاد نظامی آمریکای جنوبی کرده است و داده های "بزرگ" را از هر دو انجام می دهد.
این گروه هدف گسترده ای از موجودات در سراسر جهان بود. طبق گفته Trend Micro ، نه فقط سازمان های دولتی ، نظامی و سیاسی بلکه همچنین شرکت های فناوری اطلاعات ، دانشگاه ها ، موسسات حقوقی و فرودگاه ها.
در اروپا و ایالات متحده ، هکرها همچنین به جستجوی سرورهای آسیب پذیر می پردازند. خدمات سرور و دایرکتوری.
<! –
