‫ حمله هکرهای نظامی روسیه به زیرساخت‌های حیاتی ایالات متحده و سطح جهانی

هکرهای نظامی روسیه با نام واحد 29155 زیرساخت‌های حیاتی ایالات متحده و سطح جهان را هدف قرار داده‌اند این واحد که به‌ خاطر عملیات سایبری پیچیده‌اش شناخته می‌شود، با حملاتی مرتبط بوده است که هدف آنها مختل کردن و به خطر انداختن بخش‌های حیاتی است.
 

پیامدهای این نفوذهای سایبری گسترده است و بر خدمات دولتی، مؤسسات مالی، سیستم‌های حمل‌ونقل، شبکه‌های انرژی و امکانات بهداشتی تأثیر می‌گذارد.

تهدید واحد 29155

واحد 29155، یک گروه مخفی در آژانس اطلاعات نظامی روسیه (GRU)، به دلیل فعالیت‌های سایبری تهاجمی خود تحت نظارت قرار گرفته است به گفته FBI، NSA و CISA، این واحد عملیات خود را فراتر از جاسوسی سنتی گسترش داده است و حداقل از سال 2020 تاکتیک‌های سایبری تهاجمی را شامل می‌شود اهداف آنها از سرقت اطلاعات برای جاسوسی تا آسیب رساندن به شهرت و خرابکاری سیستماتیک از طریق تخریب داده‌ها متغیر است. واحد 29155 در کمپین‌های سایبری مختلفی از جمله تخریب وب سایت، اسکن زیرساخت، استخراج داده‌ها و عملیات نشت داده‌ها شرکت داشته است این اقدامات تعداد زیادی از اعضا و کشورهای ناتو را در سراسر اروپا، آمریکای لاتین و آسیای مرکزی هدف قرار داده است.

این گروه با بیش از 14000 مورد اسکن دامنه در حداقل 26 عضو ناتو، بر ایجاد اختلال در تلاش‌ها برای کمک به اوکراین متمرکز است واحد 29155 از طیف وسیعی از ابزارهای در دسترس عموم برای شناسایی و بهره‌برداری استفاده می‌کند که عبارتند از Acunetix، Nmap، Amass و Shodan و غیره از این ابزارها برای شناسایی آسیب‌پذیری‌ها و جمع‌آوری اطلاعات در شبکه‌های هدف استفاده می‌شود. این گروه همچنین از VPN‌ها برای ناشناس کردن فعالیت‌های خود استفاده می‌کند و برای انجام عملیات خود به بازیگران غیر GRU از جمله مجرمان سایبری متکی است.

آسیب‌پذیری‌های مورد سوء‌استفاده

مشاهده شده است که هکرها از چندین آسیب‌پذیری و قرار گرفتن در معرض مشترک (CVE) برای دسترسی اولیه سوء‌استفاده می‌کنند CVE‌های قابل توجه عبارتند از:

CVE-2020-1472: آسیب‌پذیری در سرور مایکروسافت ویندوز.

CVE-2021-26084: آسیب‌پذیری Atlassian Confluence Server و Data Center.

CVE-2021-3156: افزایش امتیاز در سیستم‌های ردهت.

CVE-2021-4034: یکی دیگر از نقص‌های افزایش امتیاز در سیستم‌های Red Hat.

CVE-2022-27666: نقص سرریز بافر هیپ در سیستم‌های Red Hat.

این آسیب‌پذیری‌ها برای دسترسی غیرمجاز و حرکت جانبی در شبکه‌های قربانی مورد سوء‌استفاده قرار گرفته‌اند. در یک نمونه مستند، واحد 29155 از آسیب‌پذیری‌های CVE-2021-33044 و CVE-2021-33045 در دوربین‌های IP داهوا (Dahua) سوء استفاده کرد. هکرها احراز هویت را دور زدند و به آنها اجازه داده شد تصاویر را استخراج کنند و تنظیمات پیکربندی و اعتبارسنجی را در متن ساده خالی کنند این توانایی گروه را برای هدف قرار دادن دستگاه‌های اینترنت اشیا (IoT) و بهره‌برداری از آنها برای نفوذ بیشتر به شبکه برجسته می‌کند.

مثال کد: بهره برداری از CVE-2021-33044

# Exploit script for CVE-2021-33044
echo "Exploiting Dahua IP Camera vulnerability..."
curl -X POST "http://<target-ip>/cgi-bin/configManager.cgi?action=getConfig&name=Network" \
     --data "user=admin&password=admin"

این اسکریپت یک تلاش اساسی برای بهره‌برداری با استفاده از یک درخواست POST برای استخراج تنظیمات شبکه از یک دوربین IP آسیب پذیر Dahua را نشان می‌دهد.

کنش و واکنش

برای کاهش این تهدیدات، به سازمان‌ها توصیه می‌شود اقدامات امنیتی سایبری قوی را اجرا کنند که شامل اصلاح منظم آسیب‌پذیری‌های نرم‌افزار، استفاده از سیستم‌های تشخیص نفوذ، و انجام ممیزی‌های امنیتی کامل است احراز هویت چند عاملی و تقسیم‌بندی شبکه نیز می‌تواند به کاهش خطر دسترسی غیرمجاز کمک کند صنعت امنیت سایبری نقش مهمی در ردیابی و کاهش این تهدیدات دارد شرکت‌هایی مانند مایکروسافت و CrowdStrike در شناسایی و نسبت دادن فعالیت‌های واحد 29155 نقش مهمی داشته‌اند همکاری آنها با سازمان های دولتی به توسعه اقدامات متقابل موثر و به اشتراک گذاری اطلاعات تهدید کمک می‌کند.

فعالیت‌های هکرهای نظامی روسیه تهدیدی جدی برای امنیت جهانی است همانطور که واحد 29155 به تکامل تاکتیک‌های خود ادامه می‌دهد، کشورها و سازمان‌ها باید در تلاش‌های امنیت سایبری خود هوشیار و فعال باشند همکاری مداوم بین سازمان‌های دولتی و صنعت امنیت سایبری در مبارزه با این تهدیدات سایبری پیچیده و حفاظت از زیرساخت‌های حیاتی در سراسر جهان حیاتی است.