مجموعة تجسس ناطقة بالروسية تستغل الأقمار الصناعية

تعتبر مجموعة تورلا للتهديدات المستمرة المتقدمة APT أحد أبرز صانعي التهديدات المتقدمة في العالم. وقد كانت مجموعة التجسس هذه ناشطة لأكثر من 8 سنوات، ولكن لم يكن معروفاً الكثير عن

تعتبر مجموعة تورلا للتهديدات المستمرة المتقدمة APT أحد أبرز صانعي التهديدات المتقدمة في العالم. وقد كانت مجموعة التجسس هذه ناشطة لأكثر من 8 سنوات، ولكن لم يكن معروفاً الكثير عن نشاطاتها حتى السنة الماضية، عندما نشرنا بحثاً حول مجموعة تورلا.

وقد تضمن هذا البحث تحديداً نماذج من اللغة تبين بأن جزءاً من تورلا ناطقين باللغة الروسية، ويشغل هؤلاء الأشخاص شيفرة 1251، والمعروف استخدامها لغاية تقديم الأحرف السيريلية، وكلمات مثل Zagruzchik والتي تعني محمل الإقلاع boot loader باللغة الروسية.

وما يجعل مجموعة تورلا خطيرة بشكل خاص وصعبة الإمساك ليس تعقيد أدواتها فحسب، إنما آلية القيادة والسيطرة المتقنة المبنية على الأقمار الصناعية والتي تم تطويرها في المراحل النهائية من الهجوم.

وتعتبر خوادم القيادة والسيطرة القاعدة الأساسية للهجمات الإلكترونية المتقدمة، وفي نفس الوقت فإنها تعتبر الحلقة الأضعف في أي عملية برامج خبيثة، ويتم استهدافها دوماً من المحققين الرقميين وقوات إنفاذ القانون.

وهناك سببان مهمان لهذا الأمر: أولاً، تستخدم هذه الخوادم للتحكم بكافة العمليات، فإذا تمكنت من إسقاطها فيمكنك التشويش على الحملة الإلكترونية أو حتى إنهاؤها بشكل كامل. ثانياً، يمكن استخدام خوادم القيادة والسيطرة لتعقب المهاجمين بحسب مواقعهم الحيوية.

لذلك يحاول صانعو التهديدات دائماً إخفاء خوادم القيادة والسيطرة قدر الاستطاعة، وقد وجدت مجموعة تورلا طريقة فعالة لهذا الأمر وهي إخفاء عناوين الخوادم في السماء.

ومن أبرز أنواع اتصالات الإنترنت التي تعتمد على الأقمار الصناعية والتي تعد واسعة الانتشار والأقل تكلفة هي الاتصالات التي تجري مع التيار فقط، وفي هذه الحالة يتم حمل البيانات الخارجة من جهاز حاسوب المستخدم عبر الخطوط التقليدية، سواء كانت متصلة أم لا سلكية، بينما تأتي كل الحركة من الأقمار الصناعية.

ومن ناحية أخرى، تملك هذه التقنية ميزة واحدة: حيث تأتي كل الحركة المتجهة مع التيار من الأقمار الصناعية إلى جهاز الكمبيوتر بصورة غير مشفرة، وبكلمات أخرى يستطيع أي شخص التدخل في الحركة، وتستخدم مجموعة تورلا هذا التدفق بطريقة جديدة ومثيرة للاهتمام، وذلك لغاية إخفاء حركة خوادم القيادة والسيطرة الخاصة بها.

ما يفعلونه بالتحديد هو ما يلي:

يستمعون إلى بيانات الاتصالات القادمة من الأقمار الصناعية لتمييز عناوين IP النشطة لمستخدمي الإنترنت المعتمد على الأقمار الصناعية، والذين يكونون متواجدين على الإنترنت في الوقت الحالي.

ثم يختارون عدداً من عناوين IP النشطة حالياً لاستخدامها كغطاء لخوادم القيادة والسيطرة دون معرفة المستخدم القانونية.

تتلقى الآلات المصابة من تورلا التعليمات لإرسال كافة البيانات إلى عناوين IP المختارة، وتنتقل البيانات عبر خطوط تقليدية إلى الأقمار الصناعية وأخيراً تهبط من الأقمار الصناعية إلى مستخدمي عناوين IP المختارة.

وبما أن اتصالات الأقمار الصناعية تغطي مساحة واسعة، فمن المستحيل تعقب مكان وجود متلقي صانعي التهديدات الحيوي. ولجعل لعبة القط والفأر هذه معقدة أكثر، فإن مجموعة تورلا تعمد إلى استغلال مزودي إنترنت الأقمار الصناعية المتواجدين في دول الشرق الأوسط وأفريقيا، مثل الكونغو، ولبنان، وليبيا، والنيجر، ونيجيريا، والصومال، والإمارات العربية المتحدة.

turla_map_of_satellites_

وعادة لا تغطي حزم الأقمار الصناعية المستخدمة من المشغلين في هذه الدول مناطق أوروبا وشمال أمريكا، مما يصعب كثيراً على الباحثين الأمنيين التحقيق في هذه الهجمات المماثلة.

وقد أصاب المهاجمون المسؤولون عن تورلا مئات أجهزة الكمبيوتر في أكثر من 45 دولة بما يتضمن كازاخستان وروسيا والصين وفيتنام والولايات المتحدة. وتتضمن المنظمات التي تهتم مجموعة تورلا باستهدافها المؤسسات الحكومية والسفارات، إضافة إلى المؤسسات العسكرية والتعليمية، وشركات البحث والأدوية.

Turla_Map_of_Targets1

وقد كانت هذه الأخبار السيئة. أما الأخبار الجيدة لمستخدمينا هي أن منتجات كاسبرسكي لاب تعمل بنجاح على كشف وحجب البرمجية الخبيثة المستخدمة من مهاجمي تورلا.

أكبر تهديد في تاريخ نظام تشغيل iOS: من يجب أن يحذر من برمجية كي ريدر الخبيثة؟

رغم أن نظام تشغيل iOS معروف بجاهزيته الأمنية العالية، إلا أن عناوين الأخبار التقنية التي انتشرت في الأيام الثلاثة الماضية شكلت تحدياً كبيراً. وأحدثت كل هذه الضجة برمجية خبيثة تدعى

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!