كشفت تقارير أمنية عن قيام مجموعة تورلا الروسية بتطوير برمجية كازوار إلى شبكة بوت نت معقدة لضمان التجسس طويل الأمد على الأهداف الحساسة حول العالم.
تُعد مجموعة تورلا (Turla) واحدة من أخطر الجهات الفاعلة في مجال التجسس السيبراني، حيث ترتبط بمركز العمليات رقم 16 التابع لجهاز الأمن الفيدرالي الروسي (FSB). وتشتهر هذه المجموعة، التي يتابعها فريق تيكبامين باستمرار، بقدرتها العالية على التخفي واستهداف القطاعات الحكومية والدبلوماسية والدفاعية في أوروبا وآسيا الوسطى.
ما هي التغييرات الجديدة في برمجية كازوار؟
قامت المجموعة بتحويل برمجيتها الشهيرة "كازوار" (Kazuar) من أداة اختراق تقليدية إلى نظام بيئي متطور يعتمد على تقنية "الند للند" (P2P). هذا التحول يهدف بشكل أساسي إلى تعزيز المرونة وصعوبة الكشف عن البرمجية داخل الأنظمة المخترقة.
أبرز خصائص التحديث الجديد:
- الهيكلية النمطية: الانتقال من إطار عمل موحد إلى نظام وحدات مستقلة لكل منها دور محدد.
- شبكة P2P: استخدام تقنية الند للند للتواصل بين الأجهزة المصابة، مما يصعب عملية تعطيل خوادم القيادة والسيطرة.
- التخفي المعزز: تقليل البصمة الرقمية للبرمجية داخل النظام لتجنب أنظمة الحماية التقليدية.
- تعدد قنوات الاتصال: دعم بروتوكولات متنوعة مثل WebSockets وHTTP للتواصل مع البنية التحتية للمهاجمين.
كيف تعمل بنية "البوت نت" النمطية الجديدة؟
وفقاً لما رصده خبراء التقنية، تعتمد النسخة الجديدة من برمجية كازوار على ثلاثة أنواع رئيسية من الوحدات (Modules)، حيث تعمل معاً لتنفيذ مهام التجسس المعقدة:
- وحدة النواة (Kernel Module): المسؤولة عن آليات الاتصال الداخلي والاتصال الخارجي بالبنية التحتية للمهاجمين.
- وحدة الجسر (Bridge Module): تعمل كحلقة وصل لتمرير الأوامر والبيانات بين الوحدات المختلفة.
- وحدات المهام (Tasking Modules): وحدات متخصصة يتم تحميلها لتنفيذ عمليات محددة مثل سرقة الملفات أو تسجيل ضربات المفاتيح.
ومن المثير للاهتمام، كما يشير تقرير تيكبامين، أن هذه البرمجية تستخدم عملية "انتخاب" آلية لاختيار قائد من بين الوحدات النشطة. يتم اختيار القائد بناءً على مدة تشغيل الوحدة وعدد مرات إعادة تشغيل النظام، وبمجرد انتخاب القائد، تتحول بقية الوحدات إلى وضع الصمت التام لتقليل احتمالية اكتشافها.
من هي مجموعة تورلا وما هي أهدافها؟
تُعرف هذه المجموعة بأسماء متعددة في مجتمع الأمن السيبراني، منها "Venomous Bear" و"Waterbug" و"Snake". وتتمثل أهدافها الاستراتيجية في جمع المعلومات الاستخباراتية طويلة الأمد لدعم الأهداف القومية الروسية.
أهم القطاعات المستهدفة من قبل تورلا:
- المؤسسات الحكومية والوزارات السيادية.
- البعثات الدبلوماسية والسفارات في الخارج.
- قطاعات الدفاع والأبحاث العسكرية.
- أنظمة تكنولوجيا المعلومات التي تم اختراقها سابقاً من مجموعات أخرى.
في الختام، يمثل تطور برمجية كازوار إلى بوت نت نمطي تحذيراً شديداً للمؤسسات الأمنية حول العالم، حيث تعكس هذه الخطوة نضجاً كبيراً في أدوات التجسس الروسية وقدرتها على البقاء داخل الشبكات الحساسة لفترات زمنية طويلة دون كشفها.
