اخترقت مجموعة برامج الفدية الروسية الوكالات الفيدرالية في هجوم إلكتروني
قال مسؤولون أميركيون يوم الخميس إن مجموعة روسية لبرامج الفدية تمكنت من الوصول إلى بيانات من الوكالات الفيدرالية ، بما في ذلك وزارة الطاقة ، في هجوم استغل برنامج نقل الملفات لسرقة وبيع بيانات المستخدمين.
وصفت جين إيسترلي ، مديرة وكالة الأمن السيبراني وأمن البنية التحتية ، الخرق بأنه “انتهازي” إلى حد كبير ولا يركز على “معلومات محددة عالية القيمة” ولا يضر بالهجمات الإلكترونية السابقة على الوكالات الحكومية الأمريكية.
وقالت إيسترلي للصحفيين يوم الخميس: “على الرغم من أننا قلقون للغاية بشأن هذه الحملة ، فهذه ليست حملة مثل SolarWinds التي تشكل خطرًا منهجيًا” ، في إشارة إلى الاختراق الهائل الذي أضر بالعديد من وكالات الاستخبارات الأمريكية في عام 2021.
وقالت وزارة الطاقة يوم الخميس إن سجلات من كيانين داخل الوزارة تعرضت للاختراق وأنها أبلغت الكونجرس و CISA بالخرق.
وقال تشاد سميث ، نائب السكرتير الصحفي لوزارة الطاقة ، “اتخذت وزارة الطاقة خطوات فورية لمنع المزيد من التعرض للضعف”.
ورفض ممثلو وزارة الخارجية ومكتب التحقيقات الفيدرالي التعليق على ما إذا كانت وكالاتهم قد تأثرت.
وفقًا لتقييم أجراه محققو CISA و FBI ، قال Easterly ، كان الاختراق جزءًا من عملية فدية أكبر نفذتها Clop ، وهي عصابة روسية لبرامج الفدية استغلت الضعف في برنامج MOVEit وهاجمت مجموعة من الحكومات والجامعات والشركات المحلية. .
في وقت سابق من هذا الشهر ، كشف مسؤولون حكوميون في إلينوي ونوفا سكوشا ولندن عن أنهم كانوا من بين مستخدمي البرامج المتأثرين بالهجوم. وقالت شركة بريتيش إيرويز وبي بي سي إنهما تأثرتا بالخرق. أصدرت جامعة جونز هوبكنز ، ونظام جامعة جورجيا ، وشركة النفط والغاز الأوروبية العملاقة شل بيانات مماثلة بشأن الهجوم.
وقال مسؤول كبير في CISA إن عددا صغيرا فقط من الوكالات الفيدرالية تأثر ، لكنه امتنع عن تحديد تلك التي تأثرت. لكن المسؤول أضاف أن التقارير الأولية من القطاع الخاص أشارت إلى تأثر عدة مئات من الشركات والمنظمات على الأقل. وتحدث المسؤول شريطة عدم الكشف عن هويته لمناقشة الهجوم.
وفقًا للبيانات التي جمعتها شركة GovSpend ، قام عدد من الوكالات الحكومية بشراء برنامج MOVEit ، بما في ذلك وكالة ناسا ووزارة الخزانة والخدمات الصحية والإنسانية وأسلحة وزارة الدفاع. لكن لم يتضح عدد الوكالات التي تستخدمها بنشاط.
وأعلن Clop في وقت سابق مسؤوليته عن الموجة السابقة من الانتهاكات على موقعه على الإنترنت.
وذكرت المجموعة أنها “ليست لديها مصلحة” في استغلال أي بيانات مسروقة من المكاتب الحكومية أو الشرطة وحذفها ، مع التركيز فقط على المعلومات التجارية المسروقة.
أشار روبرت جيه كاري ، رئيس شركة الأمن السيبراني Cloudera Government Solutions ، إلى أن البيانات المسروقة في هجمات برامج الفدية يمكن بيعها بسهولة إلى جهات فاعلة أخرى غير قانونية.
قال ، مشيرًا إلى برنامج MOVEit: “من المحتمل أن يتعرض أي شخص يستخدم هذا للخطر”.
ذكرت شبكة سي إن إن في وقت سابق الكشف عن أن الوكالات الفيدرالية كانت أيضًا من بين المتضررين.
قال ممثل عن MOVEit ، المملوكة لشركة Progress Software ، إن الشركة “انخرطت مع وكالات إنفاذ القانون الفيدرالية ووكالات أخرى” وسوف “تكافح مجرمي الإنترنت المتطورين والمستمرين بشكل متزايد الذين يعتزمون استغلال الثغرات الأمنية في منتجات البرامج المستخدمة على نطاق واسع بشكل ضار.” حددت الشركة في الأصل الثغرة الأمنية في برنامجها في مايو ، وأصدرت تصحيحًا ، وأضافته CISA إلى كتالوجها على الإنترنت للثغرات الأمنية المعروفة في 2 يونيو.
وردا على سؤال حول احتمال أن يكون كلوب يتصرف بالتنسيق مع الحكومة الروسية ، قال مسؤول وكالة الأمن القومي الأمريكية إن الوكالة ليس لديها دليل يشير إلى مثل هذا التنسيق.
يعد خرق MOVEit مثالًا آخر على وقوع الوكالات الحكومية ضحية للجرائم الإلكترونية المنظمة من قبل الجماعات الروسية ، حيث أدت حملات برامج الفدية الموجهة على نطاق واسع إلى أهداف غربية إلى إغلاق البنية التحتية المدنية الحيوية بشكل متكرر بما في ذلك المستشفيات وأنظمة الطاقة وخدمات المدينة.
تاريخياً ، بدت بعض الهجمات مدفوعة بالدوافع المالية في المقام الأول ، مثلما حدث عندما تعرضت 1500 شركة في جميع أنحاء العالم لهجوم روسي ببرنامج الفدية في عام 2021.
لكن في الأشهر الأخيرة ، انخرطت مجموعات برامج الفدية الروسية أيضًا في هجمات سياسية ظاهريًا بموافقة ضمنية من الحكومة الروسية ، واستهدفت البلدان التي دعمت أوكرانيا منذ الغزو الروسي العام الماضي.
بعد وقت قصير من الغزو ، تعرضت 27 مؤسسة حكومية في كوستاريكا لهجمات برمجيات الفدية من قبل مجموعة روسية أخرى ، كونتي ، مما أجبر رئيس البلاد على إعلان حالة الطوارئ الوطنية.
كانت الهجمات الإلكترونية التي نشأت في روسيا بالفعل نقطة خلاف في العلاقات الأمريكية الروسية قبل الحرب في أوكرانيا. كانت القضية على رأس جدول أعمال البيت الأبيض عندما التقى الرئيس بايدن بالرئيس الروسي فلاديمير بوتين في عام 2021.
أجبر هجوم فدية على أحد أكبر خطوط أنابيب البنزين في الولايات المتحدة من قبل مجموعة يعتقد أنها في روسيا مشغل خط الأنابيب على دفع 5 ملايين دولار لاستعادة بياناته المسروقة قبل شهر واحد فقط من لقاء بايدن والسيد بوتين. قال المحققون الفيدراليون في وقت لاحق إنهم استعادوا الكثير من الفدية في عملية إلكترونية.
وفي يوم الخميس أيضًا ، حدد المحللون في شركة الأمن السيبراني Mandiant هجومًا ضد Barracuda Networks ، مزود أمان البريد الإلكتروني ، قالوا إنه يبدو أنه جزء من جهود تجسس صينية. وكتب مانديانت في تقريره أن هذا الانتهاك أثر أيضًا على مجموعة من المنظمات الحكومية والخاصة ، بما في ذلك وزارة الشؤون الخارجية لرابطة أمم جنوب شرق آسيا ومكاتب التجارة الخارجية في هونغ كونغ وتايوان.