في خضم الصراعات الخفية لعالم التجسس السيبراني، برز لاعب جديد على الساحة: برمجية خبيثة ماكرة أُطلق عليها اسم "لوست كيز". ووفقًا لشركة جوجل، فإن مجموعة قرصنة روسية مدعومة من الدولة، تُعرف باسم "كولدريفر"، تستخدم "لوست كيز" منذ مطلع هذا العام للتجسس على حكومات غربية، وصحفيين، ومراكز أبحاث، ومنظمات غير حكومية.
ولا تُعد مجموعة "كولدريفر" وجهًا جديدًا في هذا المشهد؛ ففي ديسمبر الماضي، وجهت المملكة المتحدة وحلفاؤها في تحالف "العيون الخمس" الاستخباراتي أصابع الاتهام إليهم. وقد تم ربط مجموعة القرصنة هذه بشكل مباشر بجهاز الأمن الفيدرالي الروسي (FSB)، الذي يمثل الذراع الرئيسية لمكافحة التجسس والأمن الداخلي في روسيا.
جوجل تكشف النقاب عن "لوست كيز"، البرمجية الخبيثة المرتبطة بروسيا
كان "فريق استخبارات التهديدات" التابع لجوجل أول من رصد "لوست كيز" في يناير. ويبدو أن "كولدريفر" تقوم بنشر هذه البرمجية في هجمات موجهة بدقة تُعرف باسم "كليك فيكس". يمكن تشبيه هذه الهجمات بعمليات احتيال رقمية يتم فيها خداع الأفراد لتشغيل "نصوص برمجية خبيثة مكتوبة بلغة باور شيل". وببساطة، تعتمد هجمات "كليك فيكس" على أساليب "الهندسة الاجتماعية" الكلاسيكية.
بمجرد تشغيل هذه النصوص البرمجية، فإنها تمهد الطريق لتنزيل وتنفيذ المزيد من البرمجيات الخبيثة المكتوبة بلغة "باور شيل". ويتمثل هدفها الأساسي في تثبيت "لوست كيز"، التي وصفتها جوجل بأنها برمجية خبيثة لسرقة البيانات مكتوبة بلغة "فيجوال بيسك سكريبت". ووفقًا لتقرير فريق استخبارات التهديدات، فإن "لوست كيز" تعمل بمثابة "مكنسة كهربائية رقمية" تقوم باستخلاص ملفات ومجلدات محددة. كما أنها ترسل معلومات النظام وتشغل عمليات لصالح المهاجمين.
عادةً ما تتضمن طريقة عمل "كولدريفر" سرقة بيانات تسجيل الدخول للاستيلاء على رسائل البريد الإلكتروني وجهات الاتصال. ومع ذلك، فقد عُرف عنهم أيضًا نشر برمجية خبيثة أخرى تُدعى "سبيكا" لسرقة المستندات والملفات. ويبدو أن "لوست كيز" تخدم غرضًا مشابهًا، ولكن يتم استخدامها فقط في تلك "الحالات شديدة الانتقائية". وهذا يشير إلى أنها أداة أكثر تخصصًا ضمن ترسانة "كولدريفر" التجسسية.
ومن المثير للاهتمام أن "كولدريفر" ليست المجموعة الوحيدة المدعومة من دولة والتي تستخدم هجمات "كليك فيكس". إذ يبدو أن عالم الجريمة السيبرانية السفلي مغرم بهذا التكتيك، حيث تستخدم مجموعات مرتبطة بكوريا الشمالية (مثل مجموعة كيمسوكي - Kimsuky)، وإيران (مثل مجموعة مادي ووتر - MuddyWater)، وحتى جهات فاعلة روسية أخرى (مثل APT28 و UNK_RemoteRogue) أساليب مماثلة في حملات التجسس الأخيرة التي شنوها.
"كولدريفر" تنشط منذ عام 2017
تُعرف "كولدريفر" أيضًا بأسماء مستعارة أخرى، مثل "ستار بليزارد" و"مجموعة كاليستو". وقد دأبت على صقل مهاراتها في الهندسة الاجتماعية وجمع المعلومات من المصادر المفتوحة لخداع أهدافها منذ عام 2017 على الأقل. وتراوحت أهدافها بين مؤسسات الدفاع والمؤسسات الحكومية والمنظمات غير الحكومية والسياسيين. وقد شهدت هجمات المجموعة تصاعدًا، خاصة بعد الغزو الروسي لأوكرانيا، حتى أنها امتدت لتشمل مواقع الصناعات الدفاعية ومنشآت تابعة لوزارة الطاقة الأمريكية.
وقد فرضت وزارة الخارجية الأمريكية عقوبات على اثنين من عناصر "كولدريفر" (أحدهما يُقال إنه ضابط في جهاز الأمن الفيدرالي الروسي). وفي الوقت الحالي، تعرض السلطات الأمريكية مكافأة ضخمة قدرها 10 ملايين دولار مقابل أي معلومات يمكن أن تساعد في تعقب أعضاء آخرين. ويعكس هذا مدى الجدية التي تتعامل بها الولايات المتحدة مع هذه المجموعة.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على منصة إكس (تويتر سابقاً) ، أو أضف tech1new.com إلى موجز أخبار Google الخاص بك للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية
ليست هناك تعليقات:
إرسال تعليق