متهم شدن هکرهای روس توسط آمریکا و بریتانیا به جاسوسی سایبری

به گزارش کارگروه بین‌الملل سایبربان؛ بنابر ادعای آژانس‌های اطلاعاتی ایالات متحده و بریتانیا، هکرهای سرویس اطلاعات خارجی روسیه (SVR) برای سال‌ها از نهادهای آمریکایی، اروپایی و جهانی برای جمع‌آوری اطلاعات و فعال کردن عملیات سایبری آینده جاسوسی کرده‌اند.

در یک بیانیه مشترک که در 10 اکتبر امسال منتشر شد، 4 سازمان دولتی از ایالات متحده و بریتانیا در مورد یک کمپین جاسوسی سایبری در حال انجام توسط «APT29»، یک گروه هکری مرتبط با سرویس اطلاعات خارجی روسیه، همچنین شناخته شده با نام‌های «Cozy Bear»، «Midnight Blizzard»، نوبلیوم (Nobelium) و «Dukes»، هشدار دادند.

به گفته محققان، این کمپین جاسوسی حداقل به سال 2021 باز می‌گردد و به تلاش روسیه در جنگ با اوکراین از فوریه 2022 کمک کرده است.

سازمان‌های هدف شامل دولت‌ها و نهادهای دیپلماتیک، شرکت‌های فن‌آوری، اتاق‌های فکر، سازمان‌های بین‌المللی و پیمانکاران دفاعی پاک‌شده عمدتاً در آمریکای شمالی و اروپای غربی هستند. برخی سازمان‌های بخش دولتی و خصوصی در آسیا، آفریقا، کشورهای همسایه روسیه و آمریکای جنوبی نیز هدف قرار گرفته‌اند.

کارشناسان معتقدند که هدف اصلی این کمپین گسترده در حال انجام، جمع‌آوری اطلاعات فنی و اطلاعاتی خارجی و ایجاد دسترسی‌هایی برای فعال‌سازی زنجیره تأمین بعدی است.

تاکتیک‌ها، تکنیک‌ها و رویه‌های APT29

محققان براین باورند که رویکرد معمولی سرویس اطلاعات خارجی روسیه با اسکن سیستم‌های رو به اینترنت برای آسیب‌پذیری‌های اصلاح نشده شروع می‌شود.

دسترسی اولیه هکرها عموماً شامل سوءاستفاده از آسیب‌پذیری‌های افشا شده عمومی در سرویس‌های حرفه‌ای، مانند «JetBrains TeamCity» یا زیمبرا (Zimbra)، لوازم شبکه مانند «Citrix NetScaler Gateway» یا نرم‌افزار کالایی مانند گوگل کروم یا مایکروسافت تیمز (Microsoft Teams) است.

تکنیک‌های دیگر شامل اسپیرفیشینگ، اسپری رمز عبور، سوءاستفاده از زنجیره تأمین و روابط قابل اعتماد، بدافزار سفارشی و سفارشی، بهره‌برداری از ابر و تکنیک‌های زندگی خارج از زمین (LotL) برای دسترسی اولیه، افزایش امتیازات، حرکت جانبی، حفظ پایداری در شبکه‌های قربانی و محیط‌های ابری و اطلاعات استخراج شده هستند.

طبق گفته کارشناسان غربی، APT29 اغلب از شبکه مسیریابی پیازی (TOR)، زیرساخت‌ها و پروکسی‌های اجاره‌ای و در معرض خطر برای مخفی کردن فعالیت خود استفاده می‌کند.

بنابر ادعای محققان، هنگامی که سرویس اطلاعات خارجی روسیه مشکوک است که نفوذ آنها توسط قربانی یا مجری قانون شناسایی شده، به سرعت سعی می‌کنند زیرساخت‌ها و هر گونه شواهد موجود در آن را از بین ببرند. این سازمان روسی برای شناسایی نشدن اغلب از ابزارها و برنامه‌هایی استفاده می‌کند که قبلاً در شبکه‌های قربانی وجود دارد تا از نرم‌افزار ضد ویروس جلوگیری کند.

آژانس‌های بریتانیایی و آمریکایی فهرستی از توصیه‌های اجرایی برای کاهش تهدید جاسوسی سایبری سرویس اطلاعات خارجی روسیه را به اشتراک گذاشتند. این موارد عبارتند از :

• اولویت‌بندی استقرار سریع پچ‌ها و به‌روزرسانی‌های نرم‌افزاری به محض در دسترس قرار گرفتن.
• فعال کردن به‌روزرسانی خودکار در صورت امکان.
• غیرفعال کردن سرویس‌های قابل دسترسی به اینترنت که به آن‌ها نیاز ندارید یا محدود کردن دسترسی به شبکه‌های قابل اعتماد و حذف برنامه‌ها و ابزارهای استفاده نشده از ایستگاه‌های کاری و محیط‌های توسعه.
• بررسی پورت‌های باز و پروتکل‌های منسوخ یا استفاده نشده، به ویژه در سیستم‌های رو به اینترنت. 
• جداسازی سرویس‌های رو به اینترنت در منطقه غیرنظامی شبکه (DMZ) برای کاهش قرار گرفتن در معرض شبکه‌های داخلی
• اجرای احراز هویت چند عاملی (MFA) در صورت امکان. 
• نیاز به چالش‌های هویتی اضافی برای ثبت‌نام دستگاه‌های جدید هنگامی که کاربران مجاز به ثبت نام خود مکانیسم‌های احراز هویت چند عاملی یا ثبت دستگاه‌ها در شبکه شرکتی هستند.
• حسابرسی منظم حساب‌ها و برنامه‌های مبتنی بر ابر با دسترسی مدیریتی به ایمیل برای فعالیت غیرمعمول. 
• محدود کردن طول عمر دسترسی توکن و نظارت بر شواهد استفاده مجدد از توکن.

امضاکنندگان این مشاوره مشترک عبارتند از اف‌بی‌آی، آژانس امنیت ملی ایالات متحده، نیروی مأموریت ملی سایبری (CNMF) در ایالات متحده و مرکز ملی امنیت سایبری بریتانیا (NCSC).