مع محدودية المعلومات الواردة من أوكرانيا حول الهجمات الإلكترونية التي تضرب البلاد، فقد أتاحت النتائج التي توصلت إليها شركات التكنولوجيا العملاقة Google و Amazon و Microsoft التي تم الكشف عنها في الأيام الأخيرة نافذة على الظروف الإلكترونية في أوكرانيا مع استمرار الغزو الروسي.
قالت الشركات الثلاث إنها تقدم دعمًا في مجال الأمن السيبراني لأوكرانيا، التي قالت حكومتها يوم السبت إنها شهدت هجمات موزعة لرفض الخدمة (DDoS) distributed denial-of-service من قبل "قراصنة روس Russian hackers" منذ الغزو الروسي في 24 فبراير.
ومع ذلك، كما يتضح من أحدث التقارير الواردة من Google و Amazon و Microsoft، فإن البنية التحتية للحوسبة في أوكرانيا كانت ضحية لأكثر من مجرد هجمات DDoS وسط الحملة العسكرية الروسية (على الرغم من أننا ما زلنا لم نعلم حتى الآن عن هجوم إلكتروني معوق للكهرباء والمياه و البنية التحتية للاتصالات).
تتمتع Google و Amazon و Microsoft بإلقاء نظرة على مشهد التهديدات الأمنية من خلال تشغيل منصات الحوسبة السحابية الضخمة والتطبيقات التي تستخدمها العديد من الحكومات والشركات وعدد من حلول الأمان. تستمر AWS في الحفاظ على ريادتها في سوق خدمات البنية التحتية السحابية، وفقًا لمجموعة Synergy Research Group، تليها Microsoft Azure في المرتبة 2 و Google Cloud في المرتبة الثالثة.
فيما يلي أحدث التفاصيل التي كشفت عنها Google و Amazon و Microsoft حول الوضع السيبراني في أوكرانيا.
قالت الشركات الثلاث إنها تقدم دعمًا في مجال الأمن السيبراني لأوكرانيا، التي قالت حكومتها يوم السبت إنها شهدت هجمات موزعة لرفض الخدمة (DDoS) distributed denial-of-service من قبل "قراصنة روس Russian hackers" منذ الغزو الروسي في 24 فبراير.
ومع ذلك، كما يتضح من أحدث التقارير الواردة من Google و Amazon و Microsoft، فإن البنية التحتية للحوسبة في أوكرانيا كانت ضحية لأكثر من مجرد هجمات DDoS وسط الحملة العسكرية الروسية (على الرغم من أننا ما زلنا لم نعلم حتى الآن عن هجوم إلكتروني معوق للكهرباء والمياه و البنية التحتية للاتصالات).
تتمتع Google و Amazon و Microsoft بإلقاء نظرة على مشهد التهديدات الأمنية من خلال تشغيل منصات الحوسبة السحابية الضخمة والتطبيقات التي تستخدمها العديد من الحكومات والشركات وعدد من حلول الأمان. تستمر AWS في الحفاظ على ريادتها في سوق خدمات البنية التحتية السحابية، وفقًا لمجموعة Synergy Research Group، تليها Microsoft Azure في المرتبة 2 و Google Cloud في المرتبة الثالثة.
فيما يلي أحدث التفاصيل التي كشفت عنها Google و Amazon و Microsoft حول الوضع السيبراني في أوكرانيا.
جوجل Google
خلال الأسبوعين الماضيين، صرحت Google بأن مجموعة تحليل التهديدات (TAG) Threat Analysis Group التابعة لها "لاحظت نشاطًا من مجموعة من الجهات الفاعلة في مجال التهديد التي نراقبها بانتظام ونعرفها جيدًا لجهات إنفاذ القانون". من بين الجهات الفاعلة في مجال التهديد، FancyBear / APT28، التي ربطها الباحثون بمديرية المخابرات الروسية (GRU)، و Ghostwriter / UNC1151، التي ربطها الباحثون بوزارة الدفاع في بيلاروسيا.
قال Shane Huntley من Google Threat Analysis Group في منشور بالمدونة يوم الاثنين: "يتراوح هذا النشاط من التجسس espionage إلى حملات التصيد phishing campaigns. نحن نشارك هذه المعلومات للمساعدة في رفع مستوى الوعي بين مجتمع الأمان والمستخدمين المعرضين لمخاطر عالية".
أجرت FancyBear "العديد من حملات التصيد الاحتيالي الكبيرة لبيانات الاعتماد" التي استهدفت المستخدمين باستخدام عنوان بريد إلكتروني ukr.net (من شركة الوسائط الأوكرانية UkrNet). قال Huntley: "يتم إرسال رسائل التصيد الاحتيالي عبر البريد الإلكتروني من عدد كبير من الحسابات المخترقة (بخلاف Gmail / Google)، وتتضمن روابط إلى نطاقات يتحكم فيها المهاجمون".
وقد تضمنت اثنتان من الحملات استخدام نطاقات Blogspot الجديدة للصفحة المقصودة- والتي تعيد بعد ذلك توجيه المستخدمين إلى موقع تصيد بيانات الاعتماد، على حد قوله.
تم إلقاء اللوم في السابق على Ghostwriter / UNC1151 في هجمات التصيد الأخيرة التي استهدفت أفراد الجيش الأوكراني. ومع ذلك، كانت المجموعة تهاجم ليس فقط الحكومة الأوكرانية والمنظمات العسكرية، ولكن أيضًا الأفراد في الجيش والحكومة البولندية (بولندا Poland عضو في الناتو NATO)، وفقًا لمدونة Google التي صاغها Huntley.
إلى جانب ukr.net، يشمل موفرو البريد الإلكتروني الآخرون الذين تم استهداف مستخدموهم في هجمات التصيد UNC1151 i.ua و meta.ua و wp.pl و yandex.ru و rambler.ru.
في غضون ذلك، يسعى أحد الفاعلين في مجال التهديد الصيني المعروف باسم Mustang Panda (أو Temp.Hex) إلى الاستفادة من الوضع في أوكرانيا، وفقًا لمدونة Google. تقول مدونة Huntley، إن المجموعة "استهدفت الكيانات الأوروبية ذات الإغراءات المتعلقة بالغزو الأوكراني"، والتي تضمنت "مرفقات ضارة بأسماء ملفات مثل" الوضع على حدود الاتحاد الأوروبي مع Ukraine.zip".
تقول المدونة: "يوجد داخل الملف المضغوط ملف قابل للتنفيذ يحمل نفس الاسم وهو برنامج تنزيل أساسي، وعند تنفيذه، يقوم بتنزيل العديد من الملفات الإضافية التي تقوم بتحميل الحمولة النهائية".
لاحظت Google أيضًا "محاولات DDoS ضد العديد من المواقع الأوكرانية، بما في ذلك وزارة الشؤون الخارجية ووزارة الشؤون الداخلية، بالإضافة إلى خدمات مثل Liveuamap المصممة لمساعدة الأشخاص في العثور على المعلومات"، حسبما ذكرت مدونة Google.
رداً على ذلك، قالت Google إنها وسعت معايير الأهلية لتلقي حماية مجانية ضد DDoS بموجب Project Shield - "حتى تتمكن مواقع الحكومة الأوكرانية والسفارات في جميع أنحاء العالم والحكومات الأخرى القريبة من الصراع من البقاء على الإنترنت وحماية نفسها والاستمرار في تقديم خدماتها الحاسمة الخدمات وضمان الوصول إلى المعلومات التي يحتاجها الناس".
أمازون Amazon
في مدونة يوم الجمعة، قالت أمازون إن منصتها السحابية، Amazon Web Services (AWS)، "تعمل بشكل وثيق مع العملاء والشركاء الأوكرانيين للحفاظ على أمان تطبيقاتهم".
شمل العمل مساعدة العملاء في أوكرانيا على استخدام أفضل الممارسات في مجال الأمن السيبراني، قال موظفو أمازون في المدونة: "بناء وتوفير الخدمات والأدوات التقنية للعملاء في أوكرانيا" للمساعدة في نقل البنية التحتية المحلية إلى AWS، "من أجل حمايتها من أي شيء مادي أو افتراضي محتمل. الهجوم".
على مدار الأسبوعين الماضيين، لاحظت أمازون أيضًا "توقيعات برامج ضارة جديدة ونشاطًا من عدد من الجهات الحكومية التي نراقبها". لم يتم تقديم تفاصيل محددة، من قبل أمازون قالت إنها تشارك معلومات التهديد التي جمعتها مع الحكومات ومنظمات تكنولوجيا المعلومات في أوروبا وأمريكا الشمالية ومناطق أخرى.
والجدير بالذكر أن أمازون قالت إنها تشهد "زيادة في نشاط الجهات الخبيثة التابعة للدولة" وأيضًا "إيقاع عملياتي أعلى من قبل جهات خبيثة أخرى".
وأفادت أمازون بأنها لاحظت "العديد من المواقف التي تم فيها استهداف البرامج الضارة على وجه التحديد للجمعيات الخيرية والمنظمات غير الحكومية ومنظمات المساعدة الأخرى من أجل نشر الارتباك والتسبب في الاضطراب".
قال موظفو أمازون في المدونة: "في هذه الحالات الفظيعة على وجه الخصوص، تم استهداف البرامج الضارة لتعطيل الإمدادات الطبية والغذاء وإغاثة الملابس".
مايكروسوفت Microsoft
ردد تقرير أمازون عن تلك الهجمات الإلكترونية صدى التعليقات التي أدلى بها في وقت سابق من الأسبوع الماضي براد سميث Brad Smith رئيس شركة مايكروسوفت. في 28 فبراير على مدونة، ألمح سميث إلى حالات الهجمات الإلكترونية التي تستهدف المساعدات الإنسانية وخدمات الاستجابة للطوارئ والزراعة والطاقة. لم تقدم Microsoft أيضًا مزيدًا من التفاصيل.
قال سميث في تلك المدونة إن الهجمات الإلكترونية الأخيرة ضد هذه الأهداف المدنية في أوكرانيا "تثير مخاوف جدية بموجب اتفاقية جنيف"- مشيرة إلى المعاهدة الدولية التي تحدد ما يشار إليه عادة باسم "جرائم الحرب war crimes".
في منشور مدونة متابعة يوم الجمعة- أعلن فيه سميث أن Microsoft ستعلق جميع المبيعات والخدمات الجديدة لمنتجاتها في روسيا - قال رئيس Microsoft إن "مجال عملنا الوحيد الأكثر تأثيرًا هو حماية الأمن السيبراني في أوكرانيا بشكل شبه مؤكد".
قال سميث: "نواصل العمل بشكل استباقي لمساعدة مسؤولي الأمن السيبراني في أوكرانيا للدفاع ضد الهجمات الروسية، بما في ذلك هجوم إلكتروني مؤخرًا ضد مذيع أوكراني كبير".
في نهاية المطاف قال: "منذ بدء الحرب، عملنا ضد الموقف الروسي، والتدابير المدمرة أو التخريبية ضد أكثر من 20 جهة حكومية أوكرانية، وتكنولوجيا المعلومات، ومنظمة القطاع المالي".
لم تذكر مدونة سميث السابقة روسيا على وجه التحديد فيما يتعلق بالهجمات الإلكترونية في أوكرانيا - أو ذكرت رقم الجهة الحكومية الأوكرانية ومؤسسات تكنولوجيا المعلومات والمؤسسات المالية التي تعرضت للهجوم.
قال سميث: "لقد عملنا أيضًا ضد الهجمات الإلكترونية التي تستهدف عدة مواقع مدنية إضافية". "لقد أعربنا علنا عن مخاوفنا من أن هذه الهجمات ضد المدنيين تنتهك اتفاقية جنيف".
كانت مدونة سميث يوم الجمعة ثالث مشاركة لمايكروسوفت الأسبوع الماضي تتناول الوضع السيبراني في أوكرانيا. في 2 مارس، حذرت Microsoft من أن المجموعة التي تقف وراء الهجمات الإلكترونية "HermeticWiper"- وهي سلسلة من هجمات البرمجيات الخبيثة للقضاء على البيانات والتي ضربت العديد من المنظمات الأوكرانية في 23 فبراير- لا تزال تمثل تهديدًا مستمرًا.
وقالت الشركة في تحديث المنشور على المدونة: "تقدر Microsoft أنه لا يزال هناك خطر حدوث نشاط تدمري من هذه المجموعة، حيث لاحظنا عمليات اقتحام متتابعة منذ 23 فبراير تتضمن هذه القدرات الخبيثة".
