قراصنة روس يخترقون أنظمة مايكروسوفت ويصلون إلى كود المصدر
تاريخ النشر: 12th, March 2024 GMT
تقول شركة مايكروسوفت إن مجموعة القرصنة الروسية "Midnight Blizzard" تمكنت مؤخرًا من الوصول إلى بعض أنظمتها الداخلية ومستودعات كود المصدر باستخدام أسرار المصادقة المسروقة خلال هجوم إلكتروني في يناير.
في شهر يناير، كشفت Microsoft أن شركة Midnight Blizzard (المعروفة أيضًا باسم NOBELIUM) قد اخترقت خوادم البريد الإلكتروني الخاصة بالشركة بعد إجراء هجوم رش كلمة المرور الذي سمح بالوصول إلى حساب مستأجر قديم غير إنتاجي.
وكشف منشور لاحق بالمدونة أن هذا الحساب الاختباري لم يكن مزودًا بمصادقة متعددة العوامل، مما يسمح لممثلي التهديد بالوصول إلى أنظمة Microsoft.
يتمتع حساب المستأجر الاختباري هذا أيضًا بإمكانية الوصول إلى تطبيق OAuth مع وصول مرتفع إلى بيئة شركة Microsoft، مما يسمح للجهات الفاعلة في مجال التهديد بالوصول إلى البيانات وسرقتها من صناديق بريد الشركة، بما في ذلك أعضاء فريق قيادة Microsoft والموظفين في أقسام الأمن السيبراني والشؤون القانونية.
وتعتقد الشركة أن الجهات الفاعلة في مجال التهديد اخترقت بعض حسابات البريد الإلكتروني هذه لمعرفة ما تعرفه Microsoft عنها.
Midnight Blizzard تخترق مايكروسوفت مرة أخرى
اليوم، تقول مايكروسوفت إن Midnight Blizzard تستخدم الأسرار الموجودة في البيانات المسروقة للوصول إلى بعض أنظمة الشركة ومستودعات التعليمات البرمجية المصدر في الأسابيع الأخيرة.
"في الأسابيع الأخيرة، رأينا أدلة على أن Midnight Blizzard تستخدم المعلومات التي تم سحبها في البداية من أنظمة البريد الإلكتروني الخاصة بشركتنا للحصول على أو محاولة الحصول على وصول غير مصرح به،" هذا ما جاء في منشور مدونة جديد صادر عن مركز الاستجابة الأمنية لـ Microsoft.
"وشمل ذلك الوصول إلى بعض مستودعات التعليمات البرمجية المصدرية والأنظمة الداخلية للشركة. وحتى الآن لم نجد أي دليل على أن أنظمة مواجهة العملاء التي تستضيفها Microsoft قد تم اختراقها."
على الرغم من أن Microsoft لم توضح بدقة ما تتضمنه هذه "الأسرار"، فمن المحتمل أن تكون رموز المصادقة المميزة أو مفاتيح واجهة برمجة التطبيقات (API) أو بيانات الاعتماد.
تقول Microsoft إنها بدأت في الاتصال بالعملاء الذين تعرضت أسرارهم لممثلي التهديد في رسائل البريد الإلكتروني المسروقة بينهم وبين Microsoft.
"من الواضح أن Midnight Blizzard تحاول استخدام أسرار من أنواع مختلفة عثرت عليها. تمت مشاركة بعض هذه الأسرار بين العملاء ومايكروسوفت عبر البريد الإلكتروني، وكما اكتشفناها في بريدنا الإلكتروني المسرب، فقد تواصلنا ومازلنا نتواصل مع وتابعت مايكروسوفت: "هؤلاء العملاء لمساعدتهم في اتخاذ تدابير التخفيف".
وتقول الشركة إن Midnight Blizzard تعمل أيضًا على تكثيف هجمات رش كلمات المرور ضد الأنظمة المستهدفة، حيث لاحظت زيادة بمقدار 10 أضعاف في فبراير مقارنة بالحجم الذي شهدته في يناير 2024.
يعد رش كلمة المرور نوعًا من هجمات القوة الغاشمة حيث تقوم الجهات الفاعلة في التهديد بجمع قائمة بأسماء تسجيل الدخول المحتملة ثم محاولة تسجيل الدخول إليها جميعًا باستخدام قائمة طويلة من كلمات المرور المحتملة. إذا فشلت كلمة مرور واحدة، فإنهم يكررون هذه العملية مع كلمات المرور الأخرى حتى نفادها أو اختراق الحساب بنجاح.
ولهذا السبب، يجب على الشركات تكوين MFA على جميع الحسابات لمنع الوصول، حتى لو تم تخمين بيانات الاعتماد بشكل صحيح.
في نموذج 8-K المعدل المقدم إلى هيئة الأوراق المالية والبورصة، تقول Microsoft إنها قامت بزيادة الأمان عبر مؤسستها لتقويتها ضد الجهات الفاعلة المتقدمة في مجال التهديد المستمر.
وجاء في ملف 8-K: "لقد قمنا بزيادة استثماراتنا الأمنية، والتنسيق والتعبئة بين المؤسسات، وعززنا قدرتنا على الدفاع عن أنفسنا وتأمين بيئتنا وتقويتها ضد هذا التهديد المستمر المتقدم".
"نحن نواصل التنسيق مع سلطات إنفاذ القانون الفيدرالية فيما يتعلق بالتحقيق المستمر في مصدر التهديد والحادث."
من هو منتصف الليل بليزارد
Midnight Blizzard (المعروفة أيضًا باسمNobleium وAPT29 وCozy Bear) هي مجموعة قرصنة ترعاها الدولة وترتبط بجهاز المخابرات الخارجية الروسي (SVR).
اكتسب المتسللون شهرة بعد تنفيذ هجوم سلسلة التوريد SolarWinds لعام 2020، والذي سمح لممثلي التهديد باختراق العديد من الشركات، بما في ذلك Microsoft.
وأكدت مايكروسوفت لاحقًا أن الهجوم سمح لـ Midnight Blizzard بسرقة الكود المصدري لعدد محدود من مكونات Azure وIntune وExchange.
وفي يونيو 2021، اخترقت مجموعة القرصنة مرة أخرى حساب شركة Microsoft، مما سمح لهم بالوصول إلى أدوات دعم العملاء.
ومنذ ذلك الحين، تم ربط مجموعة القرصنة بعدد كبير من هجمات التجسس الإلكتروني ضد دول الناتو والاتحاد الأوروبي، والتي استهدفت السفارات والوكالات الحكومية.
بالإضافة إلى شن هجمات التجسس الإلكتروني وسرقة البيانات، تشتهر شركة نوبليوم بتطوير برامج ضارة مخصصة لاستخدامها في هجماتها.
المصدر: بوابة الوفد
إقرأ أيضاً:
ميلوني: التهديد الروسي "أكبر مما نتصور"
قالت رئيسة الوزراء الإيطالية جورجا ميلوني، الأحد، إن روسيا تشكل تهديداً أكبر لأمن الاتحاد الأوروبي من مجرد قضايا الدفاع، إذ يمكن لموسكو استخدام الهجرة غير المشروعة، وقضايا أخرى لزعزعة أمن التكتل.
واستضافت فنلندا زعماء إيطاليا والسويد واليونان، بالإضافة إلى مسؤولة السياسة الخارجية بالاتحاد الأوروبي لمناقشة الأمن في منطقة الشمال والبحر المتوسط، بالإضافة لتحديات الهجرة في جنوب أوروبا.
وقالت ميلوني في مؤتمر صحافي عند سؤالها عن روسيا: "علينا أن نفهم أن التهديد أكبر بكثير مما نتصور".
وأضافت أن الخطر على أمن الاتحاد الأوروبي من روسيا، أو من أي كيان آخر لن يتوقف بمجرد انتهاء الصراع في أوكرانيا، ويجب على الاتحاد الأوروبي أن يكون مستعداً لذلك.
وأوضحت "الأمر يتعلق بديمقراطيتنا، ويتعلق بالتأثير في الرأي العام، ويتعلق بما يحدث في أفريقيا، ويتعلق بالمواد الخام، ويتعلق باستغلال الهجرة. نحتاج إلى أن ندرك الفكرة الأوسع للأمن".
وحثت ميلوني الاتحاد الأوروبي على بذل المزيد من الجهود لحماية حدوده، وعدم السماح لروسيا أو أي "منظمة إجرامية" بتوجيه تدفقات الهجرة غير المشروعة.
واتهمت بعض الدول الأعضاء في الاتحاد الأوروبي، مثل فنلندا وإستونيا، روسيا بالسماح لمهاجرين غير شرعيين من الشرق الأوسط وأماكن أخرى بالدخول إلى دول التكتل عبر روسيا دون إجراء عمليات فحص وتفتيش مناسبة، مما يضر بأمن الاتحاد الأوروبي.
وتنفي موسكو تعمد دفع المهاجرين غير الشرعيين إلى الاتحاد الأوروبي.
وقالت ميلوني إن الاتحاد الأوروبي كان مخطئا في التعامل مع قضية الهجرة على مدى سنوات، إذ تناولها ببساطة من حيث تقاسم الأعباء فحسب.
وتابعت: "معالجة قضية الهجرة غير المشروعة كنقاش قائم على التضامن فقط كان خطأ... النتيجة هي أننا لم نتمكن من حماية حدودنا... نريد الدفاع عن حدودنا الخارجية، ولن نسمح لروسيا أو المنظمات الإجرامية بزعزعة أمننا".
وأضافت أن حلف شمال الأطلسي يظل "حجر زاوية" لأمن الاتحاد الأوروبي، لكن على التكتل أيضا التصدي لتحديات أوسع نطاقاً.
وأردفت قائلة: "الأمن يعني أيضا البنية التحتية الضرورية ويعني الذكاء الاصطناعي والأمن السيبراني والمواد الخام وسلاسل الإمداد. ويعني سياسة خارجية وتعاون جديد وأكثر فعالية، ويعني (معالجة ملف)الهجرة".