وجهت الولايات المتحدة لائحة اتهام إلى أربعة موظفين حكوميين روسيين لتورطهم في حملات قرصنة استهدفت مئات الشركات والمؤسسات العالمية العاملة في قطاع الطاقة، وذلك بين عامي 2012 و2018.
وفي التفاصيل، اتهمت وزارة العدل الأميركية موظفًا في المعهد الروسي المركزي للبحث العلمي للكيمياء والميكانيكا (TsNIIKhM) وثلاثة ضباط من جهاز الأمن الفيدرالي الروسي (FSB)، بشن “حملات قرصنة استهدفت آلاف أجهزة الكمبيوتر في مئات الشركات والمؤسسات، في حوالي 135 دولة حول العالم”.
ويبدو أن المدعو Evgeny Viktorovich Gladkikh، وهو مبرمج كمبيوتر في TsNIIKhM، كان مسؤولا بالتعاون مع آخرين عن الهجمات التي تسببت في إغلاقين طارئين لمنشأة مصفاة في الشرق الأوسط، بين مايو وسبتمبر 2017.
وأوضحت الوزارة: “لقد فعلوا ذلك عبر اختراق أنظمة المصفاة وتثبيت برامج ضارة تعرف باسم Triton أو Trisis على أجهزة شنايدر إلكتريك Triconex Tricon PLC التي تستخدمها أنظمة الأمان”.
وأضافت: “تصيب البرامج الضارة Triconex Tricon PLCs عن طريق تعديل البرامج الثابتة في الذاكرة، مما يسمح للمهاجمين بإضافة برمجة معدلّة تسمح لهم بالتحكم في الأنظمة المخترقة عن بُعد”.
بعد ذلك، حاولت المجموعة أيضًا اختراق أنظمة مصفاة أمريكية بين فبراير ويوليو 2018. المتهمون Pavel Aleksandrovich Akulov و Mikhail Mikhailovich Gavrilovو Marat Valeryevich Tyukov كانوا ضباطًا في الوحدة العسكرية 71330 أو “المركز 16” في جهاز الأمن الفيدرالي الروسي FSB. كما كانوا أيضًا جزءًا من مجموعة قرصنة تم تتبعها تحت أسماء متعددة، منها Dragonfly و Berzerk Bear و Energetic Bear و Crouching Yeti.
ما هي حملات القرصنة Dragonfly التي قامت بها FSB؟
بين عامي 2012 و2017، وقف قراصنة FSB الثلاثة وفريقهم وراء العديد من الانتهاكات والهجمات الالكترونية التي استهدفت أنظمة ICS أو التحكم الإشرافي واكتساب البيانات (SCADA) المستخدمة في قطاع الطاقة الدولي، بما في ذلك شركات النفط والغاز ومحطات الطاقة النووية ومرافق نقل الطاقة.
في الحملة الأولى التي جرت بين عامي 2012 و2014 والمعروفة باسم Dragonfly أوHavex ، تسلل المتهمون إلى شبكات العديد من الشركات المصنعة لأنظمة ICS / SCADA ومزودي البرامج، وأصابوا تحديثات البرامج المشروعة باستخدام برنامج Havex الخبيث للوصول عن بعد Trojan (RAT).
الهجوم الالكتروني المذكور أعلاه حدث بالتزامن مع هجمات أخرى مثل Spearphishing وwatering hole ، مما سمح للمتسللين بإصابة أكثر من 17000 جهاز فريد في الولايات المتحدة الأميركية وفي جميع أنحاء العالم ببرامج ضارة.
بين عامي 2014 و2017 ، وكجزء من حملة Dragonfly 2.0، تحول المتسللون إلى هجمات spearphishing وقاموا باستهداف أكثر من 3300 مستخدم في أكثر من 500 شركة وكيان أمريكي ودولي، بما في ذلك الوكالات الحكومية الأمريكية مثل لجنة التنظيم النووي.
على الأثر، قالت نائبة المدعي العام ليزا أو موناكو: “المتسللون الروس الذين ترعاهم الدولة يشكلون تهديدًا خطيرًا ومستمرًا للبنية التحتية الحيوية في كل من الولايات المتحدة والعالم”. وأضافت: “على الرغم من أن التهم الجنائية التي تم الكشف عنها تعكس نشاطًا سابقًا، إلا أنها توضح الحاجة الملحة المستمرة للشركات الأمريكية لتقوية دفاعاتها والبقاء يقظة.”
كما نشرت CISA ومكتب التحقيقات الفيدرالي ووزارة الطاقة الأمريكية تقريرًا استشاريًا مشتركًا للأمن السيبراني يوضح بالتفصيل حملات القرصنة الروسية التي ترعاها الدولة والتي تستهدف الولايات المتحدة وقطاع الطاقة الدولي، بما في ذلك مصافي النفط والمنشآت النووية وشركات الطاقة.
هذا وتقدم وزارة الخارجية الأمريكية مكافأة تصل إلى 10 ملايين دولار لأي معلومات تؤدي إلى تحديد موقع المتسللين الروس المتهمين والذين يستهدفون البنية التحتية الحيوية للولايات المتحدة.