حملة التجسس السيبراني من قبل “Secret Blizzard”
تم رصد الفاعل المهدد المدعوم من الدولة الروسية المعروف باسم Secret Blizzard وهو ينظم حملة جديدة للتجسس السيبراني تستهدف السفارات الأجنبية الموجودة في موسكو، وذلك من خلال هجوم adversary-in-the-middle (AitM) على مستوى مزود خدمة الإنترنت (ISP) وتوزيع برمجية خبيثة مخصصة تُدعى ApolloShadow.
وظائف برمجية ApolloShadow
“تمتلك ApolloShadow القدرة على تثبيت شهادة جذر موثوقة لخداع الأجهزة في الثقة بمواقع تحت سيطرة الفاعل الخبيث، مما يمكّن Secret Blizzard من الحفاظ على الاستمرارية على الأجهزة الدبلوماسية، على الأرجح لجمع المعلومات الاستخباراتية،” كما ذكرت فريق الاستخبارات التهديدية في Microsoft في تقرير تم مشاركته مع The Hacker News.
تقييم المخاطر
تُقيّم هذه الأنشطة على أنها مستمرة منذ عام 2024 على الأقل، حيث تشكل الحملة خطرًا أمنيًا على الأفراد الدبلوماسيين الذين يعتمدون على مزودي خدمات الإنترنت أو خدمات الاتصالات المحلية في روسيا.
التهديدات المرتبطة
تتبع Secret Blizzard (المعروفة سابقًا باسم Krypton) من قبل المجتمع الأوسع للأمن السيبراني تحت أسماء رمزية مثل Blue Python وIron Hunter وPensive Ursa وSnake وSUMMIT وUroburos وTurla وVenomous Bear وWaterbug.
استراتيجيات الدفاع
للدفاع ضد أنشطة Secret Blizzard، يُنصح الكيانات الدبلوماسية التي تعمل في موسكو بتطبيق مبدأ الحد الأدنى من الامتيازات (PoLP)، ومراجعة المجموعات المميزة بشكل دوري، وتوجيه جميع حركة المرور عبر نفق مشفر إلى شبكة موثوقة أو استخدام مزود خدمة شبكة خاصة افتراضية (VPN).
