اخترق قراصنة الدولة الروسية وكالة فيدرالية أمريكية، وذلك وفقًا لتحذير نشرته وكالة الأمن السيبراني وأمن البنية التحتية (CISA) الأسبوع الماضي ابتعد عن تحديد هوية الوكالة.
وقدم التحذير تفاصيل عن أساليب قراصنة الدولة الروسية واستخدامهم لشكل جديد من البرامج الضارة في عملية سرقة البيانات.
ويبدو أن مجموعة القرصنة هي (Fancy Bear)، وذلك وفقًا للقرائن التي كشف عنها باحث في شركة الأمن السيبراني (Dragos).
وتُعرف المجموعة أيضًا باسم (APT28)، وهي مسؤولة عن عمليات الاختراق التي استهدفت الانتخابات الرئاسية الأمريكية لعام 2016.
كما أنها مسؤولة عن حملة واسعة من محاولات الاقتحام التي تستهدف الأحزاب السياسية والحملات لهذا العام.
وتستند القرائن التي تشير إلى (APT28) جزئيًا إلى إشعار أرسله مكتب التحقيقات الفيدرالي إلى أهداف حملة قرصنة في شهر مايو من هذا العام.
وحذر الإخطار من أن المجموعة كانت تستهدف الشبكات الأمريكية على نطاق واسع، ومن ضمنها الوكالات الحكومية والمؤسسات التعليمية.
وأدرج الإخطار العديد من عناوين بروتوكول الإنترنت التي كانت المجموعة تستخدمها في عملياتها.
ولاحظ الباحث جو سلويك (Joe Slowik) من شركة (Dragos)، أن هناك عنوانًا لبروتوكول إنترنت يحدد خادمًا في المجر مستخدمًا في حملة (APT28) تلك يطابق عنوان بروتوكول إنترنت مدرج في تحذير (CISA).
ويشير ذلك إلى أن (APT28) قد استخدمت الخادم الهنغاري نفسه في الاقتحام الذي وصفته (CISA) بأنه إحدى محاولات الاقتحام الناجحة.
وحذر تقرير أصدرته وزارة الطاقة في العام الماضي من أن (APT28) قد فحصت شبكة مؤسسة حكومية أمريكية من خادم في لاتفيا، وأوردت عنوان بروتوكول الإنترنت الخاص بهذا الخادم.
وظهر عنوان بروتوكول الإنترنت اللاتفي هذا أيضًا في عملية القرصنة الموضحة في تحذير (CISA).
ويبدو أن بعض عناوين بروتوكول الإنترنت المدرجة في مستندات (FBI) و (DOE) و (CISA) تتداخل أيضًا مع عمليات مجرمي الإنترنت المعروفة.
ويشير الباحث إلى أن هذه المعلومات تعني أن قراصنة الدولة الروسية يعيدون استخدام البنية التحتية لمجرمي الإنترنت للتهرب من مسؤولية هذه العمليات.
وحصل المتسللون بطريقة ما على أسماء المستخدمين وكلمات المرور للعديد من الموظفين في الوكالة الفيدرالية.
وتقول (CISA): إنها لا تعرف كيف تم الحصول على هذه البيانات، ويتكهن التحذير بأن المهاجمين قد استخدموا ثغرة أمنية في خدمة الشبكات الافتراضية الخاصة من شركة (Pulse Secure).
واستخدم قراصنة الدولة الروسية أدوات سطر الأوامر للتنقل بين أجهزة الوكالة، قبل تنزيل البرامج الضارة الخاصة، ومن ثم استخدموا تلك البرامج الضارة للوصول إلى خادم ملفات الوكالة ونقل الملفات.
وحذرت مايكروسوفت في وقت سابق من هذا الشهر من أن المجموعة الروسية كانت تنفذ تقنيات واسعة النطاق وبسيطة نسبيًا لاختراق المنظمات والحملات المتعلقة بالانتخابات الرئاسية لهذا العام.
ووفقًا لمايكروسوفت، استخدم قراصنة الدولة الروسية مزيجًا من الطرق من أجل الحصول على كلمات مرور حسابات المستخدمين.