[ad_1]

هکرهای مرتبط با GRU روسیه سالهاست که شبکه آمریکایی را هدف قرار می دهند

یوری اسمیتوک | گتی ایماژ

برای همه گروه های هکر دولت-ملت که شبکه برق ایالات متحده را هدف قرار داده اند – و حتی با موفقیت برنامه های برق ایالات متحده را مختل کردند – فقط گروه اطلاعاتی ارتش روسیه معروف به Sandworm آنقدر گستاخانه بود که باعث کسوف واقعی شود. خاموش کردن چراغ ها در اوکراین 2015 و 2016 اکنون یک شرکت امنیتی متمرکز بر شبکه هشدار می دهد که گروهی که به هکرهای خطرناک منحصر به فرد Sandworm مرتبط هستند نیز سالهاست که به طور فعال سیستم انرژی ایالات متحده را هدف قرار داده اند.

روز چهارشنبه ، شرکت امنیت سایبری صنعتی Dragos گزارش سالانه خود را در مورد وضعیت امنیتی سیستم های کنترل صنعتی منتشر کرد که چهار گروه جدید هکر خارجی را متمرکز بر این سیستم های مهم زیرساختی شناسایی می کند. به گفته دراگوس ، سه نفر از این گروه های تازه نام برده سیستم های کنترل صنعتی در ایالات متحده را هدف قرار می دهند. اما قابل توجه ترین ، شاید گروهی است که Dragosh آنها را Kamacite می نامد ، که شرکت امنیتی توصیف می کند آنها با همکاری Sandworm GRU کار می کنند. محققان Dragos نوشتند ، در گذشته ، كاماكیت به عنوان تیم “دسترسی” Sandworm خدمت می كرد و قبل از اعطای دسترسی به گروه دیگری از هكرهای Sandworm كه بعضاً اثرات مخربی نیز داشت ، بر تقویت شبكه هدف متمرکز بود. Dragos می گوید Kamacite از سال 2017 بارها و بارها برق ، نفت و گاز و سایر شرکت های صنعتی ایالات متحده را هدف قرار داده است.

دراگوس ، معاون رئیس اطلاعات تهدید و سرجیو کالتاگیرون ، تحلیلگر سابق NSA ، گفت: “آنها دائماً علیه برق آمریكا تلاش می كنند تا برخی از قوام را در شبکه های IT خود حفظ كنند.” در چندین مورد در طی این چهار سال ، کالتاگیرون گفت ، تلاش های این گروه برای نفوذ در شبکه های این اهداف آمریکایی موفقیت آمیز بود و منجر به دسترسی به این سرویس ها شد که به صورت دوره ای ، اگر مداوم نبودند.

کالتاگیرون می گوید Dragos پیش از این فقط موفقیت های موفقیت آمیز Kamak را در شبکه های ایالات متحده تأیید کرده است و هرگز ندیده است که این حملات ایالات متحده منجر به بارهای مخرب شود. اما از آنجا که تاریخچه Kamacite شامل کارهایی به عنوان بخشی از عملیات Sandworm است ، که نه یک بار ، بلکه دو بار گرفتگی را در اوکراین ایجاد کرد – در اواخر سال 2015 برق را به یک چهارم میلیون اوکراینی خاموش کنید و سپس به بخشی از پایتخت کیف در پایان سال 2016 – هدایت آن به شبکه ایالات متحده باید هشدارها را ایجاد کند. کالتاگیرون گفت: “اگر Kamacite را در یک شبکه صنعتی یا هدف قرار دادن بنگاه های صنعتی مشاهده کنید ، مطمئناً نمی توانید مطمئن شوید که آنها فقط اطلاعات را جمع آوری می کنند. شما باید بپذیرید که اتفاق دیگری در راه است.” “كاماسیت برای تاسیسات كنترل صنعتی خطرناك است زیرا وقتی به آنها حمله می شود ، با اشخاصی ارتباط برقرار می كنند كه می دانند چگونه عملیات مخرب را انجام دهند.”

Dragos Kamacite را به نفوذ شبکه های الکتریکی نه تنها در ایالات متحده بلکه برای اهداف اروپایی پیوند می دهد ، بسیار فراتر از حملات تبلیغاتی در اوکراین. این شامل یک حمله هک علیه بخش برق آلمان در سال 2017 است. کالتاگیرون افزود که “چندین موفقیت موفقیت آمیز از سال 2017 تا 2018 توسط Kamacite به محیط صنعتی در اروپای غربی رخ داده است.”

Dragosh هشدار می دهد که ابزار اصلی نفوذ Kamacite ایمیل های مخرب فیشینگ ایمیل و مجبور کردن ورود سریع مبتنی بر ابر به سرویس های مایکروسافت مانند Office 365 و Active Directory و همچنین شبکه های خصوصی مجازی است. هنگامی که این گروه در ابتدا تاسیس شد ، از حسابهای کاربری معتبر برای حفظ دسترسی استفاده کرد و از ابزار سرقت هویت Mimikatz برای گسترش بیشتر در شبکه های قربانیان استفاده کرد.

ارتباط Kamacite با هکرهای معروف به Sandworm – که توسط NSA و وزارت دادگستری آمریکا به عنوان واحد GRU 74455 شناسایی شده است – کاملاً روشن نیست. تلاش های شرکت های اطلاعاتی برای شناسایی گروه های هکر جداگانه در سازمان های اطلاعاتی سایه مانند GRU همیشه ناخوشایند بوده است. با نامگذاری Kamacite به عنوان یک گروه جداگانه ، Dragos سعی می کند فعالیت های Sandworm را متفاوت از سایر افرادی که به طور عمومی آن را گزارش کرده اند ، بشکند ، Kamacite را به عنوان یک تیم مبتنی بر دسترسی از یک گروه دیگر مربوط به Sandworm ، که او Electrum نامیده می شود ، جدا کند. دراگوس ، الکتروم را به عنوان یک تیم “افکت” توصیف می کند که مسئول بارهای تخریبی مانند بدافزار معروف به Crash Override یا Industroyer است که باعث گرفت گرفتگی 2016 در کیف شد و ممکن است هدف آن غیرفعال سازی سیستم های امنیتی و از بین بردن تجهیزات شبکه باشد.

به عبارت دیگر ، گروههایی که دراگوس آنها را Kamacite و Electrum می نامند ، گروههایی را تشکیل می دهند كه محققان و م agenciesسسات دولتی دیگر آنها را كلاً Sandworm می نامند. کالتاگیرون گفت: “یک گروه وارد می شود ، گروه دیگر می دانند هنگام ورود باید چه کار کنند.” “و هنگامی که آنها به صورت جداگانه کار می کنند ، که ما نیز مشاهده می کنیم ، به وضوح می بینیم که هیچ یک از آنها در کار دیگری مهارت زیادی ندارند.”

به گفته Dragos ، هنگامی که WIRED به سایر شرکت های اطلاعاتی تهدید ، از جمله FireEye و CrowdStrike مراجعه کرد ، هیچ کس نمی تواند تأیید کند که آنها یک کمپین نفوذ مبتنی بر Sandworm را دیده اند که خدمات آب و هوایی ایالات متحده را هدف قرار داده است. پیش از این ، FireEye تأیید كرد كه شاهد یك كارزار گسترده نفوذ آمریكا در ارتباط با یك گروه GRU دیگر موسوم به APT28 یا خرس فانتزی بوده است كه WIRED سال گذشته پس از دریافت ایمیلی با اعلان FBI به اهداف كمپین ، آن را كشف كرد. در آن زمان ، طبق رایزنی وزارت انرژی ایالات متحده ، Dragos اشاره کرد که کمپین APT28 زیرساخت های مدیریت و کنترل را با تلاش برای نفوذ دیگری که “نهاد انرژی” ایالات متحده در سال 2019 انجام داده است ، به اشتراک گذاشته است. با توجه به اینکه APT28 و Sandworm در گذشته دست به دست هم داده اند ، Dragos اکنون به عنوان بخشی از حمله هک چندین ساله خود ، این بخش انرژی را برای 2019 هدف قرار داده و Kamacite را هدف قرار داده است.

گزارش Dragos دو گروه جدید دیگر را که سیستم های کنترل صنعتی ایالات متحده را هدف قرار داده اند ، شناسایی می کند. به نظر می رسد اولین مورد ، که وی آن را Vanadinite می نامد ، با گروه گسترده ای از هکرهای چینی معروف به وینتی پیوند دارد. دراگوش وانادینیت را مسئول حملاتی می داند که از باج افزار معروف به ColdLock برای برهم زدن سازمان های قربانی تایوان ، از جمله شرکت های دولتی انرژی استفاده می کرد. اما همچنین به هدف قرار دادن وانادینیت در اهداف انرژی ، تولید و حمل و نقل در سراسر جهان ، از جمله اروپا ، آمریکای شمالی و استرالیا ، در برخی موارد با بهره گیری از آسیب پذیری در VPN ها است.

دومین گروه تازه نامگذاری شده ، که Dragos آن را Talonite می نامد ، همچنین با استفاده از ایمیل های فیشینگ بدافزار ، برنامه های برق آمریکای شمالی را هدف قرار داده است. وی این هدف گذاری را به تلاش های قبلی برای فیشینگ با استفاده از بدافزار معروف به Lookback ، شناسایی كرد كه توسط Proofpoint در سال 2019 شناسایی شد. گروه دیگری ، كه Dragos آن را Stibnite می نامید ، خدمات برق آذربایجان و مزارع بادی را با استفاده از وب سایت های فیشینگ و مخرب هدف قرار می دهد. پیوست های ایمیل ، اما مورد حمله قرار نگرفت ایالات متحده به دانش شرکت امنیتی است.

اگرچه به نظر نمی رسد که در هیچ یک از لیست های رو به رشد گروه های هکری که سیستم های کنترل صنعتی را در سراسر جهان هدف قرار داده اند ، از این سیستم های کنترل برای ایجاد تأثیرات مخرب واقعی در سال 2020 استفاده کرده اند ، اما Dragos هشدار می دهد که تعداد زیاد این گروه ها روند نگران کننده ای است. Caltagirone در اوایل ماه جاری میلادی یک تهاجم نادر اما نسبتاً خشن را که هدف آن ایجاد یک کارخانه تصفیه آب کوچک در اولدزمار فلوریدا بود ، گزارش داد ، که در آن یک هکر هنوز ناشناس تلاش کرد تا میزان لوس خورنده را به میزان قابل توجهی به 15000 نفر در شهر برساند. با توجه به عدم حفاظت از این نوع اهداف زیرساختی کوچک ، گروهی مانند Kamacite ، استدلال می کند که کالتاگیرون ، بدون داشتن تخصص سیستم کنترل صنعتی یک گروه شریک مانند الکتروم ، به راحتی می تواند اثرات مضر در مقیاس بزرگ ایجاد کند.

کالتاگیرون گفت: این بدان معناست که رشد حتی گروههای نسبتاً غیر ماهر یک تهدید واقعی است. وی افزود ، از زمانی که استاکس نت در ابتدای دهه گذشته نشان داد امکان هک صنعتی با اثرات فیزیکی وجود دارد ، تعداد گروه هایی که سیستم های کنترل صنعتی را هدف قرار داده اند به طور پیوسته رشد کرده است. کالتاگیرون گفت: “گروههای زیادی در حال ورود هستند و آنها قرار نیست تعداد زیادی را ترک کنند.” “ظرف سه تا چهار سال ، احساس می کنم به یک اوج خواهیم رسید و این یک فاجعه مطلق است.”

این داستان در ابتدا در سایت wired.com منتشر شد.

[ad_2]

منبع: tarjome-news.ir