اتهمت شركة مايكروسوفت قراصنة الإنترنت الروس الذين يقفون وراء حملة قرصنة SolarWinds استهدفت ما لا يقل عن تسع وكالات فيدرالية أمريكية و 100 شركة، بإطلاق هجوم مستهدف على الوكالات الحكومية الأمريكية والأجنبية ومراكز الأبحاث هذا الأسبوع باستخدام حساب تسويق عبر البريد الإلكتروني للوكالة الأمريكية للتنمية الدولية.
وقالت الشركة إن المجموعة التي تطلق عليها مايكروسوفت اسم "نوبليوم" استهدفت ثلاثة آلاف حساب بريد إلكتروني في مؤسسات مختلفة هذا الأسبوع معظمها كان في الولايات المتحدة.
وفقا لصحيفة ذا هيل، قال نائب رئيس مايكروسوفت، توم بيرت، فى منشور أن هذا الجهد استهدف أكثر من 150 منظمة مختلفة، ربعها على الأقل فى التنمية الدولية والعمل الإنسانى وحقوق الإنسان، ولم يذكر أى جزء من المحاولات ربما أدى إلى عمليات اقتحام ناجحة.
وقالت شركة الأمن السيبرانى Volexity، التى تتبعت الحملة أيضًا فى منشور لها أن معدلات الكشف المنخفضة نسبيًا عن رسائل البريد الإلكترونى الاحتيالية تشير إلى أن المهاجم "كان على الأرجح قد حقق بعض النجاح فى اختراق الأهداف".
قال بيرت أن الحملة تبدو وكأنها استمرار لجهود متعددة من قبل المتسللين الروس لاستهداف الوكالات الحكومية المشاركة فى السياسة الخارجية كجزء من جهود جمع المعلومات الاستخبارية وقال أن الأهداف امتدت إلى 24 دولة على الأقل.
وقالت مايكروسوفت أن المتسللين تمكنوا من الوصول إلى حساب الوكالة الأمريكية للتنمية الدولية فى Constant Contact، وهى خدمة تسويق عبر البريد الإلكتروني. تزعم رسائل التصيد الاحتيالى المؤرخة فى 25 مايو أنها تحتوى على معلومات جديدة حول مزاعم الاحتيال الانتخابى لعام 2020 وتتضمن رابطًا إلى البرامج الضارة التى تسمح للقراصنة بـالوصول المستمر إلى الأجهزة المخترقة.
وأضافت مايكروسوفت فى منشور منفصل على مدونة أن الحملة مستمرة وتطورت من عدة موجات من حملات التصيد التى اكتشفتها لأول مرة فى يناير والتى تصاعدت إلى الرسائل البريدية الجماعية هذا الأسبوع.
كان الأمن السيبرانى محط تركيز كبير للحكومة الأمريكية بعد الكشف عن أن المتسللين وضعوا تعليمات برمجية ضارة فى أداة نشرتها SolarWinds أدى هجوم برنامج الفدية الذى أدى إلى إغلاق أحد أهم أجزاء البنية التحتية للطاقة فى أمريكا فى وقت سابق من هذا الشهر إلى زيادة الشعور بالقلق.
اعلنت مايكروسوفت أن هجمات هذا الأسبوع كانت ضد التنمية الدولية والعمل الإنسانى وحقوق الإنسان، فى 24 دولة على الأقل. وقالت أن نوبليوم شن الهجوم من خلال الوصول إلى حساب التسويق عبر البريد الإلكترونى Constant Contact الذى تستخدمه الوكالة الأمريكية للتنمية الدولية (USAID)، وفقًا لمايكروسوفت، بدأت الحملة الأخيرة فى أواخر يناير واكتشفت فى فبراير.
قالت الناطقة باسم الوكالة الأمريكية للتنمية الدولية بوجا جونجهونوالا يوم الجمعة أن الوكالة كانت على دراية "بنشاط بريد إلكترونى ضار محتمل" من حساب تسويق كونستانت كونتاكت تم اختراقه.
ووفقًا للمتحدثين الرسميين، فإن مجلس الأمن القومى بالبيت الأبيض ووكالة الأمن السيبرانى وأمن البنية التحتية الأمريكية (CISA) على علم بالحادث، وقال متحدث باسم CISA "تعمل مع مكتب التحقيقات الفدرالى والوكالة الأمريكية للتنمية الدولية لفهم أفضل لمدى التسوية ومساعدة الضحايا المحتملين".
تضمنت إحدى رسائل البريد الإلكترونى المزيفة التى يبدو أنها صادرة عن الوكالة الأمريكية للتنمية الدولية عنوان مرسل حقيقى ظهرت الرسالة الإلكترونية على أنها "تنبيه خاص" دعا المستلمين للنقر على رابط "لعرض المستندات" من الرئيس السابق دونالد ترامب بشأن تزوير الانتخابات.
فى وقت اختراق SolarWinds، قالت المخابرات الأمريكية ووكالات إنفاذ القانون أن المجموعة المسؤولة من المحتمل أن تكون من روسيا، مضيفة أنه يعتقد أن الهجوم كان عملاً من أعمال التجسس.
لم تكن رسائل البريد الإلكترونى الوهمية للوكالة الأمريكية للتنمية الدولية هى الطريقة الوحيدة التى سعى بها المتسللون إلى اختراق أهدافهم فى الحملة، وفقًا لشركة Mandiant للأمن السيبرانى التى كانت تتعقب أيضًا نفس النشاط الروسى المشتبه به.
قال جون هولتكويست، نائب الرئيس للتحليل فى Mandiant، أن المهاجمين استفادوا من مجموعة متنوعة من الإغراءات، بما فى ذلك المذكرات الدبلوماسية والدعوات من السفارات، وأضاف: "اعتقد أن كل هذه العمليات ركزت على الحكومة والدبابات والمنظمات ذات الصلة التى يتم استهدافها تقليديًا من قبل عمليات الاستخبارات الأجنبية الروسية".
وفى نفس السياق قال جيمس لويس، خبير الأمن السيبرانى فى مركز الدراسات الاستراتيجية والدولية، أن الكشف الأخير يوضح كيف أن الجهود الأمريكية الأخيرة لم تثنِ روسيا عن مساءلة الكرملين وتعزيز الأمن السيبرانى فى أعقاب حملة SolarWinds.
وقال لويس "الروس لديهم خطة حملة لشن هجمات مكثفة ضد أهداف أمريكية ليس لديهم حافز لوقفها." "إنهم لا يخشون الرد الأمريكي. إنهم يختبرون الإدارة الجديدة."
من جانبه رفض المتحدث باسم الكرملين ديمترى بيسكوف يوم الجمعة التعليق على تفاصيل مزاعم مايكروسوفت.
قال بيسكوف خلال مؤتمر صحفى لشبكة سى أن ان: "للإجابة على سؤالك، نحتاج أولاً إلى الإجابة على ما يلي: ما هى الجماعات؟ لماذا هم مرتبطون بروسيا؟ من هاجم ماذا؟ إلى ماذا أدى ذلك؟ إلى ماذا كان الهجوم نفسه؟ وكيف تعرف مايكروسوفت عنه؟ إذا كان كل من تمت الإجابة على هذه الأسئلة، ويمكننا التفكير فى الرد"، وأضاف أنه لا يعتقد أن المزاعم ستؤثر على القمة المقبلة بين الرئيس الأمريكى جو بايدن والرئيس الروسى فلاديمير بوتين.
جاء الاختراق بعد أسبوعين من شن مجرمى الإنترنت هجومًا ببرنامج الفدية على خط أنابيب كولونيال، مما أجبره على إيقاف العمليات وتعطيل إمدادات الغاز.