كشفت شركة مايكروسوفت أن جواسيس سيبرانيين روس مدعومين من الدولة كانوا وراء حملة قرصنة “سولار ويندز”، أطلقوا هذا الأسبوع هجوم تصيّد رمحي موجه استهدف وكالات حكومية أميركية وأجنبية ومراكز أبحاث باستخدام حساب تسويق عبر البريد الإلكتروني للوكالة الأميركية للتنمية الدولية، فيما نفى الكرملين ادعاءات مايكروسوفت.
وأوضح نائب رئيس مايكروسوفت، توم بيرت، في منشور بالمدونة في وقت متأخر الخميس، أن الهجوم استهدف حوالي 3000 حساب بريد إلكتروني في أكثر من 150 منظمة مختلفة، ربعها على الأقل منخرط في التنمية الدولية والعمل الإنساني وحقوق الإنسان. ولم تذكر المدونة أي جزء من المحاولات ربما أدى إلى عمليات اقتحام ناجحة.
24 دولة على الأقل
كما أضاف بيرت أن الحملة تبدو وكأنها استمرار لجهود متعددة من قبل القراصنة الروس “لاستهداف الوكالات الحكومية المشاركة في السياسة الخارجية كجزء من جهود جمع المعلومات الاستخبارية”، مؤكداً أن الأهداف امتدت إلى 24 دولة على الأقل.
من جهتها قالت شركة الأمن السيبراني “فوليكستي”، التي تتبعت الهجوم أيضاً، ولكن لديها رؤية أقل لأنظمة البريد الإلكتروني من مايكروسوفت، في منشور لها، إن معدلات الكشف المنخفضة نسبياً عن رسائل البريد الإلكتروني الاحتيالية تشير إلى أن المهاجم “كان على الأرجح قد حقق بعض النجاح في اختراق الأهداف”.
الوكالة الأميركية للتنمية الدولية
ووفق مايكروسوفت، تمكن القراصنة من الدخول إلى حساب للوكالة الأميركية للتنمية الدولية عبر “كونستانت كونتاكت” (اتصال دائم)، وهي خدمة تسويق عبر البريد الإلكتروني. وتزعم رسائل التصيد الاحتيالي ذات المظهر الأصيل المؤرخة في 25 مايو أنها تحتوي على معلومات جديدة حول مزاعم الاحتيال الانتخابي لعام 2020 وتتضمن رابطاً إلى البرامج الضارة التي تسمح للقراصنة بـ”الدخول المستمر إلى الأجهزة المخترقة”.
إلى ذلك ذكرت مايكروسوفت في منشور منفصل على المدونة أن الحملة مستمرة وتطورت من عدة موجات من حملات التصيد الرمحي التي اكتشفتها لأول مرة في يناير، والتي تصاعدت إلى الرسائل البريدية الجماعية هذا الأسبوع.
هجوم “ضوضائي”
في حين أن حملة “سولار ويندز”، التي تسللت إلى العشرات من شركات القطاع الخاص ومراكز الأبحاث بالإضافة إلى ما لا يقل عن تسع وكالات حكومية أميركية، كانت متخفية للغاية واستمرت معظم عام 2020، قبل أن يتم اكتشافها في ديسمبر من قبل شركة الأمن السيبراني “فاير آي”. ويصف باحثو الأمن السيبراني هذا الهجوم بالـ”ضوضائي”، أي يسهل الكشف عنه.
كما لاحظت مايكروسوفت طريقتين للتوزيع الجماعي المستخدمتين: فقد استغل اختراق “سولار ويندز” سلسلة التوريد لتحديثات برامج مزود التكنولوجيا الموثوق به، واعتمد هذا الهجوم على مزود خدمة بريد إلكتروني جماعي. وقالت الشركة إنه باستخدام كلتا الطريقتين، يقوض القراصنة الثقة في النظام البيئي التكنولوجي.