التجسس السيبراني الروسي أصبحت المجموعة المعروفة باسم Turla سيئة السمعة في عام 2008 باعتبارها المتسللين وراء الوكيل. btz ، وهو جزء خبيث من البرمجيات الخبيثة ينتشر عبر أنظمة وزارة الدفاع الأمريكية ، ويكتسب وصولاً واسع النطاق عبر محركات أقراص USB مصابة متصلة بمصدر للطاقة من قبل موظفي البنتاغون المطمئنين. الآن ، بعد مرور 15 عامًا ، يبدو أن المجموعة نفسها تحاول إجراء تغيير جديد في تلك الخدعة: اختطاف عدوى USB لـ آخر يقوم المتسللون بإلقاء القبض على إصاباتهم ويختارون أهداف التجسس الخاصة بهم خلسة.
كشفت شركة الأمن السيبراني Mandiant اليوم أنها اكتشفت حادثة تمكن فيها قراصنة تورلا – الذين يُعتقد على نطاق واسع أنهم يعملون في خدمة وكالة الاستخبارات الروسية FSB – من الوصول إلى شبكات الضحايا من خلال تسجيل المجالات منتهية الصلاحية منذ ما يقرب من عقد من الزمن. البرامج الضارة الخاصة بالمجرمين الإلكترونيين التي تنتشر عبر محركات أقراص USB المصابة. نتيجة لذلك ، تمكنت Turla من الاستيلاء على خوادم القيادة والتحكم لتلك البرامج الضارة ، وأسلوب السلطعون الناسك ، والبحث في ضحاياها للعثور على من يستحقون استهداف التجسس.
يبدو أن تقنية الاختطاف هذه مصممة للسماح لـ Turla بالبقاء غير مكتشفة ، مختبئًا داخل آثار أقدام المتسللين الآخرين أثناء التمشيط عبر مجموعة كبيرة من الشبكات. ويظهر كيف تطورت أساليب المجموعة الروسية وأصبحت أكثر تعقيدًا خلال العقد ونصف العقد الماضيين ، كما يقول جون هولتكويست ، الذي يقود التحليل الاستخباراتي في Mandiant. نظرًا لانتشار البرامج الضارة بالفعل من خلال USB ، يمكن لـ Turla الاستفادة من ذلك دون الكشف عن نفسها. بدلاً من استخدام أدوات USB الخاصة بهم مثل الوكيل. btz ، يمكنهم الجلوس على شخص آخر ، “يقول Hultquist. “إنهم يستغلون عمليات الآخرين. إنها طريقة ذكية حقًا للقيام بالأعمال “.
ظهر اكتشاف Mandiant لتقنية Turla الجديدة لأول مرة في سبتمبر من العام الماضي ، عندما اكتشف المستجيبون للحوادث اختراقًا غريبًا لشبكة في أوكرانيا ، البلد الذي أصبح محورًا رئيسيًا لجميع خدمات الاستخبارات في الكرملين بعد الغزو الكارثي لروسيا في فبراير الماضي. أصيبت عدة أجهزة كمبيوتر على تلك الشبكة بعد أن أدخل شخص ما محرك أقراص USB في أحد منافذها ونقر نقرًا مزدوجًا فوق ملف ضار على محرك الأقراص تم تخفيه كمجلد ، وقام بتثبيت برنامج ضار يسمى أندروميدا.
أندروميدا هي عبارة عن حصان طروادة مصرفي شائع نسبيًا استخدمه مجرمو الإنترنت لسرقة أوراق اعتماد الضحايا منذ عام 2013. ولكن على أحد الأجهزة المصابة ، رأى محللو مانديانت أن عينة أندروميدا قد قامت بهدوء بتنزيل قطعتين أخريين أكثر إثارة للاهتمام من البرامج الضارة. الأولى ، وهي أداة استطلاع تسمى Kopiluwak ، سبق استخدامها من قبل تورلا ؛ الجزء الثاني من البرامج الضارة ، وهو عبارة عن باب خلفي يُعرف باسم Quietcanary يقوم بضغط البيانات المختارة بعناية وسحبها من الكمبيوتر الهدف ، وقد تم استخدامه حصريًا بواسطة Turla في الماضي. يقول غابي رونكون ، محلل استخبارات التهديدات في مانديانت: “كان ذلك بمثابة علامة حمراء بالنسبة لنا”.
عندما نظر مانديانت إلى خوادم القيادة والتحكم لبرامج أندروميدا الضارة التي بدأت سلسلة العدوى تلك ، رأى محللوها أن المجال المستخدم للتحكم في عينة أندروميدا – الذي كان اسمه تهكمًا مبتذلًا لصناعة مكافحة الفيروسات – قد انتهى بالفعل و تم إعادة تسجيله في أوائل عام 2022. بالنظر إلى عينات أندروميدا الأخرى ومجالات القيادة والتحكم الخاصة بها ، رأى مانديانت أنه تم إعادة تسجيل مجالين آخرين على الأقل منتهي الصلاحية. إجمالاً ، تلك المجالات مرتبطة بمئات من عدوى أندروميدا ، والتي يمكن لتورلا فرزها للعثور على أشخاص يستحقون تجسسهم.