جاسوسی سایبری روسیه از سفارت‌ها در مسکو

به گزارش کارگروه امنیت خبرگزاری سایبربان، این کمپین مداوم جاسوسی سایبری دست‌کم از سال ۲۰۲۴ فعال بوده و توسط گروهی اجرا می‌شود که مایکروسافت آن را سکرت بلیزارد (Secret Blizzard) می‌نامد.

پیش‌تر، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) اعلام کرده بود که این گروه در مرکز ۱۶ سازمان امنیت فدرال روسیه (FSB) مستقر است.

مایکروسافت افزود این نخستین باری است که تأیید می‌کند سکرت بلیزارد که با نام تورلا (Turla) نیز شناخته می‌شود، توانایی انجام عملیات جاسوسی در سطح ارائه‌دهندگان خدمات اینترنتی را دارد.

مایکروسافت در یک پست وبلاگی در روز پنج‌شنبه اعلام کرد که برای اولین بار در فوریه ۲۰۲۵ شاهد استفاده این جاسوسان از تکنیکی موسوم به مهاجم در میانه (Adversary-in-the-Middle) برای انتشار بدافزار آپولو شادو (ApolloShadow) علیه سفارت‌خانه‌های خارجی بوده است؛ روشی که امکان جمع‌آوری اطلاعات و حفظ دسترسی به سیستم‌های دیپلماتیک را فراهم می‌کند.

در این روش، عامل تهدید خود را میان چندین شبکه قرار می‌دهد تا اقدامات بعدی را تسهیل کند.

مایکروسافت گمان می‌برد که در این مورد، سکرت بلیزارد از ابزارهای شنود قانونی در سطح ارائه‌دهندگان خدمات اینترنتی (ISP) یا مخابراتی داخل روسیه برای دسترسی به سیستم‌های سفارت‌خانه‌های خارجی استفاده می‌کند.

مایکروسافت بیان کرد:

این بدان معناست که کارکنان دیپلماتیک که از خدمات اینترنتی یا مخابراتی محلی در روسیه استفاده می‌کنند، به احتمال زیاد هدف موقعیت مهاجم در میانه (AiTM) این گروه قرار دارند.

این شرکت همچنین اعلام کرد که این گروه به‌احتمال زیاد از سیستم‌های شنود داخلی روسیه مانند سامانه فعالیت‌های تحقیقاتی عملیاتی (SORM) استفاده می‌کند که به‌نظر می‌رسد بخش مهمی از فعالیت‌های فعلی AiTM آن‌ها را ممکن ساخته است.

مایکروسافت افزود:

سکرت بلیزارد در گذشته نیز از روش‌های مشابه در کمپین‌های جاسوسی سایبری برای آلوده‌سازی وزارت‌خانه‌های خارجه در اروپای شرقی استفاده کرده است، به‌طوری که کاربران را وادار به دانلود نسخه‌ای آلوده از نصب‌کننده فلش از طریق موقعیت AiTM می‌کرد.

سکرت بلیزارد با استفاده از موقعیت AiTM خود، دستگاه‌های هدف را به درون درگاه‌های محدودکننده هدایت می‌کند؛ صفحات وب معتبری که دسترسی به شبکه را مدیریت می‌کنند (مانند صفحه لاگین وای‌فای در هتل یا فرودگاه).

سپس بازدیدکنندگان به دامنه‌ای متعلق به گروه هدایت می‌شوند که آن‌ها را ترغیب به دانلود بدافزار آپولو شادو می‌کند.

بخشی از این بدافزار خود را به‌جای نصب‌کننده آنتی‌ویروس کسپرسکی جا می‌زند تا امتیازات سطح بالایی در سیستم به دست آورد.

به گفته مایکروسافت، این بدافزار تغییراتی از جمله تضعیف قوانین فایروال برای فعال‌سازی اشتراک‌گذاری فایل‌ها انجام می‌دهد.

هرچند حرکت جانبی مستقیم در شبکه مشاهده نشده، اما بسیاری از این تغییرات برای تسهیل چنین حرکاتی طراحی شده‌اند.

مایکروسافت هشدار داد که این کمپین تهدیدی جدی برای سفارت‌خانه‌ها، نهادهای دیپلماتیک و دیگر سازمان‌هایی است که در مسکو فعالیت دارند؛ به‌ویژه آن‌هایی که به ارائه‌دهندگان اینترنت محلی وابسته‌اند.

این شرکت توصیه کرد که این نهادها از شبکه‌های خصوصی مجازی (VPN) یا تونل‌های رمزگذاری‌شده به شبکه‌های قابل اعتماد یا تأمین‌کنندگان جایگزین استفاده کنند.

این تحقیقات تنها چند ماه پس از بروز نگرانی‌هایی درباره نحوه مدیریت ارتباطات حساس توسط دولت ترامپ در روسیه منتشر شده است.

استیو ویتکاف، فرستاده ترامپ در امور اوکراین و خاورمیانه، در مارس سال جاری هنگام سفر به مسکو و دیدار با پوتین، درگیر حادثه‌ای در پیام‌رسان «سیگنال» شده بود.

مقامات آمریکایی بعداً ادعا کردند که ویتکاف هیچ‌یک از تلفن‌های شخصی یا دولتی خود را همراه نداشته و از «سرور حفاظت‌شده طبقه‌بندی‌شده» دولت آمریکا استفاده کرده و در مورد ارتباطات خود در روسیه بسیار محتاط بوده است.

در سال ۲۰۲۳، پژوهشگران شرکت ایست (ESET) کمپینی مشابه با تمرکز بر ارائه‌دهندگان خدمات اینترنتی را به متحد روسیه، یعنی بلاروس نسبت دادند.

در آن کمپین نیز سفارت‌خانه‌های خارجی هدف هکرهایی قرار گرفتند که قصد سرقت اسناد، ضبط صدا و ردیابی کلیدهای فشرده‌شده (keystrokes) را داشتند.

این کمپین تقریباً مشابه بود: گروه بلاروسی از روش‌های AiTM، درگاه‌های محدودکننده، و نفوذ به ارائه‌دهندگان خدمات اینترنتی محلی برای دسترسی به دست‌کم چهار سفارت استفاده کرده بود.

در گزارش ایست آمده بود که میان عوامل تهدید بلاروسی و سکرت بلیزارد ارتباطاتی وجود دارد، و سناریوی AiTM آن‌ها یادآور گروه‌های تورلا و استرانگ پیتی (StrongPity) است که در سطح ارائه‌دهندگان خدمات اینترنتی اقدام به آلوده‌سازی نصب‌کننده‌های نرم‌افزار می‌کنند.

سکرت بلیزارد نقش پررنگی در جنگ روسیه علیه اوکراین دارد و به سرقت اطلاعات سیاسی حساس، به‌ویژه تحقیقات پیشرفته مرتبط با مسائل ژئوپولیتیک، شهرت دارد.

این گروه سابقه حمله به وزارت‌خانه‌های خارجه، سفارت‌خانه‌ها، نهادهای دولتی، وزارت دفاع و شرکت‌های مرتبط با دفاع در سراسر جهان را دارد.

شِرود دِگریپُو، مدیر استراتژی اطلاعات تهدید در مایکروسافت، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت که هرگاه یک عامل دولتی تاکتیکی را عملیاتی کند، به‌ویژه تاکتیکی مبتنی بر زیرساخت‌های تحت کنترل خود، آن روش معمولاً وارد کتابچه عملیات آینده آن‌ها می‌شود.

او هشدار داد که کشورهایی با دسترسی دولتی به مخابرات، مانند چین، ایران یا کره شمالی، ممکن است از این شیوه AiTM برای جاسوسی در داخل کشور خود الگوبرداری کنند.

او اظهار کرد:

روسیه ممکن است بسته به اهداف اطلاعاتی‌اش، این کمپین را مجدداً به کار گیرد یا گسترش دهد. این کمپین نشان‌دهنده روندی است که در آن گروه‌های وابسته به دولت مرز میان "نظارت منفعلانه" و "نفوذ فعال" را از بین می‌برند. این تغییری است از صرفاً مشاهده ترافیک به سوی تغییر فعال آن برای دسترسی به سیستم‌های هدف است که احتمالاً نشانه‌ای از یکپارچگی روزافزون میان نظارت و عملیات تهاجمی در جعبه‌ابزار عوامل دولتی است.

مایکروسافت پیش‌تر در دسامبر، یافته‌هایی درباره سکرت بلیزارد منتشر کرده بود که نشان می‌داد این گروه از سرورهای تحت کنترل عوامل تهدید پاکستانی برای هدف قرار دادن سازمان‌هایی در جنوب آسیا استفاده کرده است.