في عالم متزايد التعقيد من الهجمات السيبرانية، تبرز مجموعة Secret Blizzard كتهديد رئيسي يستهدف السفارات الأجنبية في موسكو.
حملة التجسس السيبراني الجديدة من قبل Secret Blizzard
تم رصد مجموعة التهديدات المعروفة باسم Secret Blizzard، والتي تمثل دولة روسيا، وهي تنفذ حملة جديدة للتجسس السيبراني تستهدف السفارات الأجنبية الموجودة في موسكو، من خلال هجوم adversary-in-the-middle (AitM) على مستوى مزود خدمة الإنترنت (ISP)، حيث يتم تسليم برمجية خبيثة مخصصة تُعرف باسم ApolloShadow.
تأثير ApolloShadow على الأجهزة الدبلوماسية
أفادت مجموعة Microsoft Threat Intelligence في تقريرها الذي تم مشاركته مع The Hacker News أن “ApolloShadow لديها القدرة على تثبيت شهادة جذر موثوقة لخداع الأجهزة في الثقة بالمواقع التي يتحكم بها المهاجم، مما يتيح لـ Secret Blizzard الحفاظ على وجود مستمر على الأجهزة الدبلوماسية، على الأرجح لجمع المعلومات الاستخباراتية”.
يُعتقد أن هذه الأنشطة مستمرة منذ عام 2024 على الأقل، مما يشكل خطرًا أمنيًا على الأفراد الدبلوماسيين الذين يعتمدون على مزودي خدمات الإنترنت أو خدمات الاتصالات المحلية في روسيا.
تاريخ المجموعة ووسائلها
تُعرف Secret Blizzard (المعروفة سابقًا باسم Krypton) بأنها مرتبطة بجهاز الأمن الفيدرالي الروسي، كما تتبعها المجتمعات السيبرانية تحت أسماء أخرى مثل Blue Python وIron Hunter وPensive Ursa وSnake وSUMMIT وUroburos وTurla وVenomous Bear وWaterbug.
في ديسمبر 2024، كشفت Microsoft وLumen Technologies Black Lotus Labs عن استخدام المجموعة لبنية تحتية للتحكم في الأوامر (C2) تابعة لمهاجم مقيم في باكستان لتنفيذ هجماتها، كوسيلة لتشويش جهود تحديد الهوية.
طرق التسلل والتصعيد
تم رصد المجموعة وهي تستخدم برمجيات خبيثة مرتبطة بمهاجمين آخرين لتسليم باب خلفي يُعرف باسم Kazuar على الأجهزة المستهدفة في أوكرانيا.
أشارت Microsoft إلى أن موقع AitM يسهل على الأرجح من خلال الاعتراض القانوني ويتضمن تثبيت شهادات جذر تحت ستار برنامج Kaspersky لمكافحة الفيروسات للحصول على وصول مرتفع إلى النظام.
آلية عمل ApolloShadow
يتم تحقيق الوصول الأولي عن طريق إعادة توجيه الأجهزة المستهدفة إلى بنية تحتية تسيطر عليها المجموعة من خلال وضعها خلف بوابة أسر، مما يؤدي إلى تحميل وتنفيذ برمجية ApolloShadow.
"عند دخول النظام إلى بوابة الأسر، يتم تفعيل مؤشر حالة الاتصال بالاختبار من Windows، وهو خدمة شرعية تحدد ما إذا كان للجهاز اتصال بالإنترنت من خلال إرسال طلب GET HTTP إلى hxxp://www.msftconnecttest[.]com/redirect، والذي يجب أن يتم توجيهه إلى msn[.]com،" قالت Microsoft.“بمجرد فتح النظام نافذة المتصفح إلى هذا العنوان، يتم إعادة توجيه النظام إلى مجال آخر تسيطر عليه مجموعة المهاجمين، والذي من المحتمل أن يعرض خطأ في التحقق من الشهادة، مما يدفع الهدف لتحميل وتنفيذ ApolloShadow.”
تقوم البرمجية الخبيثة بعد ذلك بإرسال معلومات المضيف إلى خادم C2 وتشغيل ملف ثنائي يسمى CertificateDB.exe إذا لم يكن الجهاز يعمل على إعدادات إدارية افتراضية، وتسترجع كحمولة المرحلة الثانية نص برمجي غير معروف بلغة Visual Basic.
في الخطوة الأخيرة، تقوم عملية ApolloShadow بإعادة تشغيل نفسها وتعرض على المستخدم نافذة التحكم في وصول المستخدم (UAC) وتطلب منه منحها أعلى الامتيازات المتاحة للمستخدم.
توصيات للدفاع ضد Secret Blizzard
للدفاع ضد نشاط Secret Blizzard، يُنصح الكيانات الدبلوماسية التي تعمل في موسكو بتطبيق مبدأ أقل امتياز (PoLP)، ومراجعة المجموعات المميزة بشكل دوري، وتوجيه جميع الحركة المرورية عبر نفق مشفر إلى شبكة موثوقة أو استخدام مزود خدمة شبكة افتراضية خاصة (VPN).
تتطلب التهديدات السيبرانية المستمرة من الكيانات الدبلوماسية اتخاذ تدابير وقائية قوية لضمان سلامة معلوماتها وأمنها.
