ضرب قراصنة روسيا المدعومون من وكالة المخابرات العسكرية الروسية (GRU) الشبكات الأميركية مرة أخرى، في سلسلة من التدخلات التي استهدفت المنظمات التي تتراوح من الوكالات الحكومية إلى البنية التحتية الحيوية.
وكانت وكالة المخابرات العسكرية الروسية (GRU) قد نفذت في السابق، العديد من أعمال القرصنة، من ضمنها عملية قرصنة واسعة مصممة للتأثير على نتائج الانتخابات الرئاسية الأمريكية لعام 2016.
ونفذ قراصنة روسيا المعروفون باسم (APT28) أو (Fancy Bear) – التابعة لوكالة المخابرات العسكرية الروسية (GRU) – حملة قرصنة واسعة النطاق ضد أهداف أمريكية من شهر ديسمبر 2018 حتى شهر مايو على الأقل من هذا العام.
ووفقًا لتنبيه مكتب التحقيقات الفيدرالية الذي تم إرساله إلى ضحايا الانتهاكات في شهر مايو، حاول قراصنة روسيا اقتحام خوادم بريد الضحايا و(Microsoft Office 365) وحسابات البريد الإلكتروني وخوادم (VPN).
وقد تضمنت الأهداف مجموعة واسعة من المنظمات التي تتخذ من الولايات المتحدة مقرًا لها، ووكالات الدولة والحكومة الفيدرالية، والمؤسسات التعليمية.
وتكشف البيانات التقنية الواردة في التنبيه أن قراصنة (APT28) استهدفوا قطاع الطاقة الأميركي أيضًا.
وتُعد مسألة الكشف عن موجة قرصنة روسية جديدة تستهدف الولايات المتحدة أمرًا مثيرًا للقلق بشكل خاص في ضوء عمليات وكالة المخابرات العسكرية الروسية (GRU) السابقة، التي غالبًا ما تجاوزت مجرد التجسس لتشمل تسريب البريد الإلكتروني أو الهجمات الإلكترونية التخريبية.
وكان قراصنة (APT28) موضوع لوائح اتهام أمريكية تزعم قيامهم بعمليات اختراق تستهدف الانتخابات الأمريكية لعام 2016 والوكالة العالمية لمكافحة المنشطات.
وجاء الهجوم الأخير انتقامًا من اللجنة الأولمبية الدولية التي حظرت روسيا من دورة الألعاب الأولمبية 2018 لاستخدامها منشطات من أجل تحسين الأداء.
وكتب المتحدث باسم مكتب التحقيقات الفدرالي في بيان حول التنبيه المرسل إلى ضحايا اختراق (APT28): "بالرغم من أن الدوافع ليست واضحة، لكن يمكننا إصدار أحكام استنادًا إلى طبيعة الهدف كما يظهر من خلال لوائح الاتهام السابقة".
ويقول مكتب التحقيقات الفدرالي أيضًا: إن حملة الاختراق المدعومة من وكالة المخابرات العسكرية الروسية (GRU) استمرت على الأرجح خلال الأشهر الأخيرة، وهناك توقعات باستمرار النشاط.
ووفقًا للتنبيه، فقد تمكن قراصنة (APT28) من الوصول إلى الشبكات عبر رسائل البريد الإلكتروني التصيدية التي يتم إرسالها إلى حسابات البريد الإلكتروني الشخصية وحسابات العمل.
واستخدم القراصنة أيضًا هجمات مختلفة، مثل تجريب كلمات المرور الشائعة عبر العديد من الحسابات، بالإضافة إلى هجمات تخمين كلمات المرور لحساب واحد أو عدد صغير من الحسابات.
وفي غضون أيام من إرسال التنبيه من مكتب التحقيقات الفدرالي إلى الضحايا في أوائل شهر مايو، أصدرت وكالة الأمن القومي نصيحة عامة بأن (Sandworm)، وهي مجموعة اختراق منفصلة لكنها مرتبطة بشكل وثيق بوكالة المخابرات العسكرية الروسية (GRU)، كانت تستغل ثغرة في خوادم البريد (Exim) لاستهداف الضحايا.
وقال أحد الموظفين في منظمة متأثرة: إن موظفي تكنولوجيا المعلومات لم يروا أي علامة على هجوم تصيد ناجح، لكنهم وجدوا أن المتسللين قد دخلوا إلى خادم البريد الإلكتروني، وبمجرد وصولهم إلى الخادم، سرقوا صناديق بريد كاملة.
ورفض مكتب التحقيقات الفدرالي ذكر عدد الضحايا الذين ربما استهدفتهم حملة (APT28)، أو عدد تلك المحاولات الناجحة.
لكن شركة (FireEye) الأمنية تقول: إن هناك مجموعة من المنظمات التي تم اختراقها عبر متسللين يستخدمون عناوين بروتوكول الإنترنت نفسها (IP) المدرجة على النحو المستخدم من (APT28) في تنبيه مكتب التحقيقات الفدرالي.
ويبدو أن المتسللين لم يصيبوا الأنظمة ببرامج ضارة، بل استخدموا بيانات دخول مسروقة للتنقل في شبكة الشركة كما يفعل الموظفون.
ويبدو أن أحد أهداف المجموعة على الأقل يعمل في مجال صناعة الطاقة الأمريكية، وحذرت وزارة الطاقة في شهر يناير من قيام شخص في العام الماضي بفحص صفحات تسجيل الدخول لكيان طاقة أمريكي من عنوان (IP) استخدمته سابقًا (APT28).
وأدرج مكتب التحقيقات الفدرالي عنوان (IP) نفسه من بين العناوين التي استخدمها قراصنة APT28 حتى شهر مايو، مما يؤكد أن (APT28) كانت على الأرجح وراء هذا الحادث.
وتمثل التدخلات في قطاع الطاقة تحولًا في استهداف (APT28)، وفي حين يبدو أنه مشروع جديد لمجموعة (APT28)، فإن وكالة المخابرات العسكرية الروسية (GRU) لديها تاريخ من اختراق البنية التحتية الحيوية.
وزرعت مجموعة القرصنة (Sandworm) برمجيات خبيثة ضمن شبكات المرافق الكهربائية الأمريكية في عام 2014، ونفذت أول حالات انقطاع التيار الكهربائي بسبب الهجمات الإلكترونية في أوكرانيا في عامي 2015 و 2016.