على مدار العقد الماضي ، ركزت الوحدة الإلكترونية الأكثر عدوانية في الكرملين ، والمعروفة باسم Sandworm ، حملاتها المتوقعة على عذاب أوكرانيا ، حتى أكثر من ذلك منذ غزو الرئيس الروسي فلاديمير بوتين على نطاق واسع لجار روسيا. تحذر Microsoft الآن من أن فريقًا داخل مجموعة القرصنة الشهيرة قد حولت استهدافها ، وعمل بشكل عشوائي على خرق الشبكات في جميع أنحاء العالم-ويبدو أنه في العام الماضي ، يظهر اهتمامًا خاصًا بالشبكات في البلدان الغربية الناطقة باللغة الإنجليزية.
في يوم الأربعاء ، نشر فريق Microsoft التهديد للتهديدات بحثًا جديدًا في مجموعة داخل Sandworm بأن محللي الشركة يدعو Badpilot. تصف Microsoft الفريق بأنه “عملية وصول أولية” تركز على خرق واكتساب موطئ قدم في شبكات الضحايا قبل تسليم هذا الوصول إلى المتسللين الآخرين في منظمة Sandworm الأكبر ، والتي تم تحديدها لسنوات لسنوات كوحدة في وكالة الاستخبارات العسكرية في روسيا . بعد الانتهاكات الأولية لـ Badpilot ، استخدم المتسللون الآخرون في Form Form Intricals للتحرك داخل شبكات الضحايا وتنفيذ تأثيرات مثل سرقة المعلومات أو إطلاق الهجمات الإلكترونية ، كما تقول Microsoft.
تصف Microsoft badpilot بأنها بدء حجم كبير من محاولات التسلل ، وتلقي شبكة واسعة ثم فرز النتائج للتركيز على ضحايا معينين. على مدار السنوات الثلاث الماضية ، تقول الشركة ، لقد تطورت جغرافيا استهداف المجموعة: في عام 2022 ، وضعت أنظارها بالكامل تقريبًا على أوكرانيا ، ثم وسعت اختراقها في عام 2023 إلى الشبكات في جميع أنحاء العالم ، ثم انتقلت مرة أخرى في عام 2024 إلى المنزل في المنزل في المنزل على الضحايا في الولايات المتحدة والمملكة المتحدة وكندا وأستراليا.
يقول Sherrod DeGrippo ، مدير استراتيجية التهديد في Microsoft: “نراهم يرشون محاولاتهم للوصول الأولي ، ورؤية ما يعود ، ثم التركيز على الأهداف التي يحبونها”. “إنهم يختارون ويختارون ما هو منطقي التركيز عليه. وهم يركزون على تلك الدول الغربية. “
لم تسمية Microsoft أي ضحايا محددة لشروط Badpilot ، لكنها ذكرت على نطاق واسع أن أهداف مجموعة Hacker قد شملت “الطاقة والنفط والغاز ، والاتصالات ، والشحن ، وتصنيع الأسلحة” ، و “الحكومات الدولية”. في ثلاث مناسبات على الأقل ، تقول Microsoft ، لقد أدت عملياتها إلى هجمات الإنترنت التي تنفذ البيانات التي تنفذها Sandworm ضد الأهداف الأوكرانية.
أما بالنسبة للتركيز الأكثر حداثة على الشبكات الغربية ، فإن ديجريبو من Microsoft يلمح إلى أن مصالح المجموعة من المحتمل أن تكون أكثر ارتباطًا بالسياسة. يقول ديجربو: “ربما تكون الانتخابات العالمية سببًا لذلك”. “أعتقد أن هذا المشهد السياسي المتغير هو حافز لتغيير التكتيكات وتغيير الأهداف”.
على مدار أكثر من ثلاث سنوات ، قامت Microsoft بتتبع Badpilot ، سعت المجموعة إلى الوصول إلى شبكات الضحايا باستخدام نقاط الضعف المعروفة ولكن غير المشوشة في البرامج التي تواجه الإنترنت ، واستغلال العيوب القابلة للاختراق في Microsoft Exchange and Outlook ، وكذلك التطبيقات من OpenFire ، JetBrains و Zimbra. في استهدافها للشبكات الغربية على مدار العام الماضي على وجه الخصوص ، تحذر Microsoft من أن Badpilot قد استغلت بشكل خاص ضعفًا في أداة الوصول عن بُعد ConnectWise ConnectRise و Fortinet Forticlient EMS ، وهو تطبيق آخر لإدارة برنامج الأمان في Fortinet مركزيًا على أجهزة الكمبيوتر.
بعد استغلال هذه الثغرات الأمنية ، وجدت Microsoft أن Badpilot عادةً ما تقوم بتثبيت البرامج التي تتيح لها الوصول المستمر إلى آلة الضحايا ، وغالبًا ما تكون مع أدوات الوصول عن بُعد مشروعة مثل Atera Agent أو Splashtop Remote Services. في بعض الحالات ، في تطور أكثر فريدة من نوعه ، تقوم أيضًا بإعداد جهاز كمبيوتر ضحية لتشغيل ما يسمى بخدمة البصل على شبكة عدم الكشف عن هويته TOR ، مما يحولها بشكل أساسي إلى خادم يتواصل عبر مجموعة من آلات الوكيل من TOR لإخفاء اتصالاتها.
