قامت الوكالات الفيدرالية الأمريكية بالاختراق باستخدام أدوات شرعية لسطح المكتب البعيد

حذرت وكالة الأمن السيبراني التابعة للحكومة الأمريكية من أن المتسللين المجرمين بدوافع مالية قاموا باختراق الوكالات الفيدرالية باستخدام برامج سطح مكتب بعيدة مشروعة.

قال CISA في مشترك استشاري مع وكالة الأمن القومي يوم الأربعاء أنها حددت “حملة إلكترونية واسعة النطاق تنطوي على استخدام ضار لبرامج المراقبة والإدارة الشرعية عن بُعد (RMM)” والتي استهدفت العديد من وكالات الفرع التنفيذي المدني الفيدرالي – والمعروفة باسم FCEBs – وهي قائمة تشمل Homeland الأمن والخزانة ووزارة العدل.

قالت CISA إنها حددت لأول مرة نشاطًا ضارًا مشتبه به على نظامي FCEB في أكتوبر أثناء إجراء تحليل بأثر رجعي باستخدام Einstein ، وهو نظام للكشف عن التسلل تديره الحكومة يستخدم لحماية شبكات الوكالات المدنية الفيدرالية. أدى المزيد من التحليل إلى استنتاج مفاده أن العديد من الشبكات الحكومية الأخرى قد تأثرت أيضًا.

ربط CISA هذا النشاط بحملة تصيد ذات دوافع مالية أولاً مكشوفة من خلال شركة استخبارات التهديدات Silent Push. لكن CISA لم تذكر أسماء وكالات FCEB المتأثرة – ولم ترد على أسئلة TechCrunch.

بدأ المهاجمون الذين لم يكشف عن أسمائهم وراء هذه الحملة في إرسال رسائل بريد إلكتروني تصيدية تحت عنوان مكتب المساعدة إلى عناوين البريد الإلكتروني الحكومية والشخصية للموظفين الفيدراليين في منتصف يونيو 2022 ، وفقًا لـ CISA. تحتوي رسائل البريد الإلكتروني هذه إما على رابط إلى موقع ضار من “المرحلة الأولى” ينتحل شخصية الشركات البارزة ، بما في ذلك Microsoft و Amazon ، أو حث الضحية على الاتصال بالمخترقين ، الذين حاولوا بعد ذلك خداع الموظفين لزيارة المجال الضار.

أدت رسائل البريد الإلكتروني المخادعة هذه إلى تنزيل برنامج الوصول عن بُعد الشرعي – ScreenConnect (الآن ConnectWise Control) و AnyDesk – والذي استخدمه المتسللون الذين لم يكشف عن هويتهم كجزء من عملية احتيال استرداد الأموال لسرقة الأموال من الحسابات المصرفية للضحايا. يمكن لأدوات الوصول عن بُعد المستضافة ذاتيًا أن تسمح لمسؤولي تكنولوجيا المعلومات بالوصول شبه الفوري إلى كمبيوتر الموظف بأقل قدر من التفاعل من المستخدم ، ولكن هذه الأدوات لديها تم الإساءة من قبل مجرمي الإنترنت لإطلاق عمليات احتيال ذات مظهر مقنع.

في هذه الحالة ، ووفقًا لـ CISA ، استخدم مجرمو الإنترنت برنامج الوصول عن بُعد لخداع الموظف للوصول إلى حسابه المصرفي. استخدم المتسللون وصولهم عن بعد لتعديل ملخص الحساب المصرفي للمستلم. وقالت CISA: “استخدم المهاجمون برنامج الوصول عن بُعد لتغيير معلومات ملخص الحساب المصرفي للضحية لإظهار أنهم ردوا عن طريق الخطأ مبلغًا زائدًا من المال ، ثم أصدروا تعليمات للضحية” برد “هذا المبلغ الزائد”.

تحذر CISA من أن المهاجمين يمكنهم أيضًا استخدام برامج الوصول عن بعد المشروعة كباب خلفي للحفاظ على الوصول المستمر إلى الشبكات الحكومية. وجاء في الاستشارة: “على الرغم من أن هذا النشاط المحدد يبدو بدوافع مالية ويستهدف الأفراد ، إلا أن الوصول يمكن أن يؤدي إلى نشاط ضار إضافي ضد منظمة المتلقي – من مجرمي الإنترنت الآخرين والجهات الفاعلة في APT”.