وكالة أمن سيبراني فرنسية: مجموعة قرصنة روسية استهدفت البنية التحتية للإنترنت في بلادنا

[الباسل]

وكالة أمن سيبراني فرنسية: مجموعة قرصنة روسية استهدفت البنية التحتية للإنترنت في بلادنا

كشف تقرير وكالة الأمن السيبراني الجديد عن هجمات لمجموعة قرصنة روسية تستهدف شركات تكنولوجيا المعلومات الفرنسية التي تستخدم خوادم برنامج سنترون

الوكالة الفرنسية لأمن المعلومات لم تستطع تحديد ما إذا كانت الهجمات قد استغلت ثغرة أمنية في برنامج سنترون أو إذا كان المهاجمون قد خمنوا كلمات مرور حسابات المشرف (وكالة الأنباء الألمانية)


16/2/2021

قالت وكالة الأمن السيبراني الفرنسية إن مجموعة من المتسللين العسكريين الروس، المعروفة باسم مجموعة ساندوورم (Sandworm)، كانت وراء عملية استمرت 3 سنوات، قاموا خلالها باختراق الشبكات الداخلية للعديد من الكيانات الفرنسية التي تدير خوادم سنترون (Centreon) لمراقبة تكنولوجيا المعلومات.
وسنترون هي منصة مراقبة موارد تكنولوجيا المعلومات التي طوّرتها شركة سنترون الفرنسية، ومنتج مشابه من حيث الوظائف لمنصة أوريون (Orion) الخاصة بشركة سولارويندز (SolarWinds) الأميركية.

تم تفصيل الهجمات في تقرير تقني صدر اليوم عن الوكالة الوطنية لأمن المعلومات (Agence Nationale de la Sécurité des Systèmes d’Information)، المعروفة أيضا باسم "آنسي" (ANSSI)، والتي تعد وكالة الأمن السيبراني الرئيسية في البلاد.
وقال مسؤولو آنسي اليوم، "أثرت هذه الحملة في الغالب على مزودي تكنولوجيا المعلومات، وبخاصة مزودو استضافة الويب"، وأضافوا "يبدو أن الضحية الأولى تعرضت للخطر من أواخر عام 2017. واستمرت الحملة حتى عام 2020″، وتم ربط نقطة الدخول إلى شبكات الضحايا ببرنامج سنترون.
وقالت آنسي إن المهاجمين استهدفوا أنظمة سنترون التي تُركت متصلة بالإنترنت. ولم تستطع الوكالة -حتى في وقت كتابة هذا التقرير- تحديد ما إذا كانت الهجمات قد استغلت ثغرة أمنية في برنامج سنترون أو إذا كان المهاجمون قد خمنوا كلمات مرور حسابات المشرف.

آنسي تمكنت من ربط هذه الهجمات بمجموعة قرصنة معروفة في صناعة الأمن السيبراني تحت اسم ساندوورم (مواقع التواصل الاجتماعي)


وقام المهاجمون بعد الدخول بتثبيت نسخة من برامج الأبواب الخلفية التي تسمح لهم بالدخول والخروج دون ملاحظة المشرفين وكذلك نسخة من برامج "حصن طروادة" (Trojans) والمسماة "إكسارمال باكدور تورجان" (Exaramel backdoor trojan)، وهما سلالتان من البرامج الضارة التي عند استخدامهما معًا تتيحان للقراصنة السيطرة الكاملة على النظام المخترَق والشبكة المجاورة له.
وفي خطوة نادرة، قالت آنسي إنها تمكّنت من ربط هذه الهجمات بمجموعة قرصنة معروفة في صناعة الأمن السيبراني تحت اسم ساندوورم.
وكانت وزارة العدل الأميركية قد وجهت في أكتوبر/تشرين الأول 2020، اتهامات رسمية لـ6 ضباط عسكريين روس لمشاركتهم في هجمات إلكترونية دبرتها هذه المجموعة، وربطت رسميا ساندوورم بالوحدة "74455" التابعة لمديرية المخابرات الروسية الرئيسية "جي آر يو" (GRU)، وهي وكالة استخبارات عسكرية تابعة للجيش الروسي.
وتضمنت الهجمات الإلكترونية التي نفذتها هذه المجموعة سابقا تعطيل شبكة الطاقة في جميع أنحاء أوكرانيا في عامي 2015 و2016، وإطلاق فيروس الفدية المعروف نوتبيتيا (NotPetya ransomware) في عام 2017، والهجمات على حفل افتتاح دورة الألعاب الأولمبية الشتوية في بيونغ تشانغ (PyeongChang) بكوريا الجنوبية في عام 2018، والتخريب الجماعي للمواقع الجورجية في عام 2019.
بالإضافة إلى ذلك، ربطت وزارة العدل أيضا هذه المجموعة بالهجمات ضد فرنسا، وبالتحديد بحملات الاختراق وجهود القرصنة والتسريب ذات الصلة التي تستهدف الرئيس الفرنسي ماكرون، في عملية يشار إليها أيضًا باسم تسريبات ماكرون.

من خلال إصدار تقريرها اليوم، تحذر آنسي الآن وتحث المنظمات الفرنسية والدولية على فحص منشآتها المركزية بحثا عن وجود سلالات البرامج الضارة، وهي علامة على أن اختراق ساندوورم للشركات حدث في السنوات السابقة.
وعلى الرغم من التشابه في الوظائف بين تطبيقات سنترون وأوريون من سولارويندز، فيبدو أن هجمات سنترون ركزت على الأنظمة المزودة للإنترنت بدلاً من سلسلة التوريد.

المصدر : مواقع إلكترونية