استهدف قراصنة مدعومون من الكرملين مصفاة نفط “كبيرة” في إحدى دول الناتو

حاولت إحدى مجموعات القرصنة الأكثر نشاطًا في الكرملين والتي تستهدف أوكرانيا مؤخرًا اختراق شركة كبيرة لتكرير البترول تقع في إحدى دول الناتو. الهجوم هو علامة على أن الجماعة توسع جمع المعلومات الاستخباراتية مع استمرار الغزو الروسي للدولة المجاورة لها.

قال باحثون في وحدة بالو ألتو نتوركس 42 يوم الثلاثاء إن محاولة الاختراق وقعت في 30 أغسطس / آب ولم تنجح. مجموعة القرصنة – التي تم تتبعها تحت أسماء مختلفة بما في ذلك Trident Ursa و Gamaredon و UAC-0010 و Primitive Bear و Shuckworm – تم نسبها من قبل خدمة الأمن الأوكرانية إلى جهاز الأمن الفيدرالي الروسي.

وضع مشاهد في صناعة الطاقة

في الأشهر العشرة الماضية ، حددت الوحدة 42 أكثر من 500 مجال جديد و 200 عينة وفتات خبز أخرى. ترك Trident Ursa وراءه في حملات التصيد بالرمح التي تحاول إصابة الأهداف ببرامج ضارة لسرقة المعلومات. تستخدم المجموعة في الغالب رسائل بريد إلكتروني بها إغراءات باللغة الأوكرانية. لكن في الآونة الأخيرة ، أظهرت بعض العينات أن المجموعة بدأت أيضًا في استخدام إغراءات اللغة الإنجليزية.

كتب باحثو الشركة: “نحن نقدر أن هذه العينات تشير إلى أن Trident Ursa يحاول تعزيز جمع المعلومات الاستخباراتية والوصول إلى الشبكة ضد الأوكرانيين وحلفاء الناتو”.

من بين أسماء الملفات المستخدمة في الهجوم غير الناجح: MilitaryassistanceofUkraine.htm ، و Necessary_military_assistance.rar ، وقائمة بالأشياء الضرورية لتقديم المساعدة الإنسانية العسكرية لـ Ukraine.lnk.

ولم يذكر تقرير الثلاثاء اسم شركة البترول المستهدفة أو الدولة التي تقع فيها المنشأة. في الأشهر الأخيرة ، أصدر المسؤولون المتحالفون مع الغرب تحذيرات من أن الكرملين قد وضع أنظاره على شركات الطاقة في البلدان التي تعارض الحرب الروسية على أوكرانيا.

في الأسبوع الماضي ، على سبيل المثال ، قال مدير Cyber ​​Security وكالة الأمن القومي Rob Joyce إنه قلق بشأن الهجمات الإلكترونية الكبيرة من روسيا ، وتحديداً على قطاع الطاقة العالمي ، وفقًا لـ CyberScoop.

وفقًا لـ CyberScoop ، قال جويس: “لن أشجع أي شخص على الشعور بالرضا عن الذات أو عدم الاهتمام بالتهديدات التي يتعرض لها قطاع الطاقة على مستوى العالم”. مثل [Ukraine] تقدم الحرب هناك بالتأكيد فرص لزيادة الضغط على روسيا على المستوى التكتيكي ، وهو ما سيؤدي إلى إعادة تقييمهم وتجربة استراتيجيات مختلفة لتخليص أنفسهم “.

أشارت المراجعة السنوية لوكالة الأمن القومي إلى أن روسيا أطلقت ما لا يقل عن سبع قطع متميزة من البرمجيات الخبيثة للممسحات المصممة لتدمير البيانات بشكل دائم. قام أحد هذه المساحات بإخراج الآلاف من أجهزة المودم عبر الأقمار الصناعية التي يستخدمها عملاء شركة الاتصالات Viasat. من بين أجهزة المودم التالفة ، كانت هناك عشرات الآلاف من المحطات الطرفية خارج أوكرانيا التي تدعم توربينات الرياح وتوفر خدمات الإنترنت للمواطنين العاديين.

قبل عشرة أيام ، حذر رئيس الوزراء النرويجي جوناس جار ستور من أن روسيا تشكل “تهديدًا حقيقيًا وخطيرًا … لصناعة النفط والغاز” في أوروبا الغربية حيث تحاول الدولة كسر إرادة الحلفاء الأوكرانيين.

تعتبر تقنيات القرصنة الخاصة بـ Trident Ursa بسيطة ولكنها فعالة. تستخدم المجموعة طرقًا متعددة لإخفاء عناوين IP والتوقيعات الأخرى لبنيتها التحتية ، ومستندات التصيد ذات معدلات الكشف المنخفضة بين خدمات مكافحة التصيد الاحتيالي ، ومستندات HTML و Word الضارة.

كتب باحثو الوحدة 42:

تظل Trident Ursa عبارة عن APT رشيقة وقابلة للتكيف لا تستخدم تقنيات معقدة أو معقدة للغاية في عملياتها. في معظم الحالات ، يعتمدون على الأدوات والبرامج النصية المتاحة للجمهور – جنبًا إلى جنب مع قدر كبير من التشويش – بالإضافة إلى محاولات التصيد الروتينية لتنفيذ عملياتهم بنجاح.

يتم اكتشاف عمليات هذه المجموعة بانتظام من قبل الباحثين والمنظمات الحكومية ، ومع ذلك لا يبدو أنهم مهتمون. إنهم ببساطة يضيفون تشويشًا إضافيًا ومجالات جديدة وتقنيات جديدة ويحاولون مرة أخرى – حتى في كثير من الأحيان يعيدون استخدام العينات السابقة.

تعمل باستمرار بهذه الطريقة منذ عام 2014 على الأقل مع عدم وجود أي علامة على التباطؤ طوال فترة الصراع هذه ، لا يزال Trident Ursa ناجحًا. لكل هذه الأسباب ، لا يزالون يشكلون تهديدًا كبيرًا لأوكرانيا ، تهديد تحتاج أوكرانيا وحلفاؤها للدفاع ضده بنشاط.

يقدم تقرير يوم الثلاثاء قائمة بتجزئة التشفير ومؤشرات أخرى يمكن للمؤسسات استخدامها لتحديد ما إذا كان Trident Ursa قد استهدفهم. كما يقدم اقتراحات لطرق حماية المنظمات ضد المجموعة.