كشف فريق استخبارات التهديدات في جوجل عن جهة تهديد روسية جديدة تستخدم برمجية CANFAIL الخبيثة ونماذج الذكاء الاصطناعي لشن هجمات معقدة ضد مؤسسات عسكرية وحكومية في أوكرانيا، مما يمثل تطوراً لافتاً في أساليب الحرب السيبرانية.
من يقف وراء هجمات CANFAIL السيبرانية؟
حسب التقرير الأمني، ترتبط المجموعة الجديدة بأجهزة الاستخبارات الروسية، حيث ركزت نشاطها بشكل أساسي على استهداف قطاعات حساسة تشمل الدفاع، الطاقة، والهيئات الحكومية في أوكرانيا.
وعلى الرغم من أن هذه المجموعة قد تبدو أقل تطوراً من حيث الموارد مقارنة بمجموعات القرصنة الروسية المعروفة، إلا أنها أظهرت اهتماماً متزايداً بتوسيع نطاق أهدافها ليشمل:
- شركات الطيران والفضاء.
- منشآت التصنيع ذات الصلة بالطائرات المسيرة (الدرونز).
- مراكز الأبحاث النووية والكيميائية.
- المنظمات الدولية المعنية بالمساعدات الإنسانية.
كيف يستخدم القراصنة الذكاء الاصطناعي في الهجوم؟
أشار فريق تيكبامين للأمن الرقمي إلى أن المهاجمين بدؤوا مؤخراً في تجاوز محدودياتهم التقنية عبر الاستعانة بنماذج اللغة الكبيرة (LLMs). وتُستخدم هذه التقنيات المتقدمة في عدة مراحل من الهجوم:
- إجراء عمليات استطلاع دقيقة للأهداف.
- صياغة رسائل تصيد احتيالي مقنعة (Social Engineering).
- البحث عن حلول لمشاكل تقنية أثناء الاختراق وإعداد البنية التحتية للتحكم (C2).
ما هي آلية عمل برمجية CANFAIL الخبيثة؟
تعتمد الهجمات بشكل رئيسي على حملات التصيد الاحتيالي، حيث ينتحل القراصنة صفة مؤسسات طاقة أوكرانية محلية أو حتى شركات رومانية للحصول على وصول غير مصرح به للبريد الإلكتروني.
تتضمن سلسلة الهجوم الخطوات التقنية التالية:
- توليد قوائم بريد إلكتروني مستهدفة بدقة حسب المنطقة والصناعة.
- إرسال روابط Google Drive تحتوي على أرشيف مضغوط (RAR).
- استخدام ملفات خبيثة بامتداد مزدوج (*.pdf.js) لخداع الضحية.
- تنفيذ سكريبت PowerShell يقوم بتحميل البرمجية الخبيثة في الذاكرة فقط (Memory-only) لتجنب الكشف.
علاقة الهجوم بحملة PhantomCaptcha
وفقاً للمعلومات الواردة، ترتبط هذه المجموعة أيضاً بحملة سابقة تُدعى PhantomCaptcha، والتي استهدفت منظمات الإغاثة في أوكرانيا. اعتمدت تلك الحملة على صفحات ويب مزيفة تعرض تعليمات مضللة (ClickFix) لإقناع الضحايا بتنفيذ أوامر تؤدي في النهاية لتثبيت برمجيات تجسس، وهو ما يؤكد استمرار تطور التكتيكات الروسية في الفضاء السيبراني.
