حمله هکرهای میدنایت بلیزارد روسیه به کارکنان دولتی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم اطلاعات تهدیدات مایکروسافت در یک پست وبلاگی در روز سه‌شنبه اعلام کرد که از ۲۲ اکتبر، عامل روسی که با نام طوفان نیمه‌شب یا میدنایت بلیزارد (Midnight Blizzard) فعالیت می‌کند، ایمیل‌های فیشینگ کاملا هدفمندی را برای افرادی در دولت، دانشگاه‌ها، ارگان‌های دفاعی، سازمان‌های غیر دولتی و سایر بخش‌ها ارسال کرده است.

این کمپین همچنان در جریان است و مایکروسافت گزارش داد که این ایمیل‌ها به هزاران هدف در بیش از ۱۰۰ سازمان ارسال شده‌اند.

ایمیل‌ها شامل فایل‌های پیکربندی برای پروتکل دسکتاپ از راه دور (RDP) بودند که به سرورهایی متصل می‌شدند که تحت کنترل هکرها بودند.

فایل‌های پیوست پروتکل دسکتاپ از راه دور حاوی تنظیمات حساسی بودند که می‌توانست به افشای گسترده اطلاعات منجر شود.

مایکروسافت افزود که پس از نفوذ به سیستم هدف، این سیستم به سرور کنترل‌شده توسط هکرها متصل شده و منابع دستگاه محلی کاربر هدف، مانند پرینترها و محتوای کلیپ‌بورد، به سرور منتقل می‌شد.

حتی کلیدهای امنیتی و دستگاه‌های پایانه فروش نیز می‌توانستند با باز کردن پیوست پروتکل دسکتاپ از راه دور تحت تأثیر قرار گیرند.

این دسترسی به هکرها امکان نصب بدافزار، ترسیم نقشه شبکه قربانی، نصب ابزارهای دیگر و دستیابی به اطلاعات ورود را می‌داد.

مایکروسافت اعلام کرد که مهاجمان افراد در ده‌ها کشور، از جمله بریتانیا، اروپا، استرالیا و ژاپن را هدف قرار داده‌اند.

هکرها ایمیل‌های فیشینگ را به آدرس‌های ایمیلی ارسال کردند که طی نفوذهای قبلی جمع‌آوری کرده بودند.

در برخی از ایمیل‌ها، هکرها سعی داشتند با جعل هویت کارکنان مایکروسافت قربانیان را ترغیب به باز کردن پیام کنند و در مواردی از طعمه‌های مهندسی اجتماعی مرتبط با مایکروسافت، سرویس وب آمازون (AWS) و مفهوم اعتماد صفر استفاده کردند.

این کمپین به‌ویژه به دلیل استفاده از فایل‌های پیکربندی پروتکل دسکتاپ از راه دور، به عنوان پیشرفت جدیدی در تاکتیک‌های گروه "طوفان نیمه‌شب" قابل توجه بود.

مایکروسافت اشاره کرد که هم آمازون و هم تیم واکنش اضطراری رایانه‌ای دولت اوکراین فعالیت‌های مشابهی را گزارش کرده‌اند.

هفته گذشته، آمازون گزارشی امنیتی منتشر کرد که هشدار می‌داد سرویس اطلاعات خارجی روسیه، سازمان‌های دولتی، شرکت‌ها و ارتش‌ها را در یک کمپین فیشینگ با هدف سرقت اطلاعات از دشمنان روسیه هدف قرار داده است.

هکرهایی که آمازون آن‌ها را با نام ای پی تی ۲۹ (APT29) می‌شناسد، ایمیل‌های فیشینگ به زبان اوکراینی را برای اهداف بسیار بیشتری نسبت به حملات هدفمند معمول خود ارسال کردند.

برخی از دامنه‌های استفاده شده سعی داشتند اهداف را به اشتباه بیندازند که این دامنه‌ها به سرویس وب آمازون تعلق دارند که البته این‌گونه نبود، اما هدف هکرها آمازون یا مشتریان آن نبودند، بلکه ای پی تی ۲۹ به دنبال دریافت اعتبارهای ویندوزی قربانیان از طریق پروتکل دسکتاپ از راه دور مایکروسافت بود.

آمازون به محض شناسایی این فعالیت، روند تصرف دامنه‌های سوءاستفاده شده را برای مختل کردن عملیات آغاز کرد.

هکرهای سرویس اطلاعات خارجی روسیه (SVR) پیش از این در نوامبر گذشته دست به حمله شدید علیه سیستم‌های مایکروسافت زده بودند که به آنها دسترسی به محیط ایمیل سازمانی این شرکت را داد که احتمالاً ایمیل‌هایی از چندین سازمان دولتی آمریکا را در بر داشت و شامل جزئیات احراز هویت یا اعتبارنامه‌ها بود.

علاوه بر حملات اخیر به شرکت‌های نرم‌افزاری مانند تیم ویوئر (TeamViewer)، سرویس اطلاعات خارجی روسیه پشت برخی از مهم‌ترین حملات سایبری تاریخ آمریکا بوده است؛ از جمله نفوذ به سولار ویندز (SolarWinds) در سال ۲۰۲۰ و حمله به کمیته ملی دموکرات در سال ۲۰۱۶.