كشفت تقارير أمنية عن استغلال مجموعة جيماريدون الروسية لثغرة في وينرار لاستهداف أوكرانيا ببرمجيات خبيثة متطورة تهدف لسرقة البيانات الحساسة، حسب تيكبامين.
تستمر الهجمات السيبرانية الموجهة ضد البنية التحتية الأوكرانية في التطور، حيث رصد خبراء الأمن نشاطاً مكثفاً لمجموعة جيماريدون (Gamaredon) المرتبطة بجهاز الأمن الفيدرالي الروسي. تعتمد هذه الهجمات بشكل أساسي على استغلال الثغرات البرمجية في التطبيقات الشائعة للوصول إلى الأنظمة الحساسة وتدميرها أو سرقة محتوياتها.
ما هي ثغرة وينرار التي تستغلها مجموعة جيماريدون؟
تتمحور الهجمات الأخيرة حول استغلال ثغرة أمنية تحمل الرمز CVE-2025-8088، وهي ثغرة من نوع "تجاوز المسار" (Path Traversal) موجودة في تطبيق الأرشفة الشهير وينرار (WinRAR). تسمح هذه الثغرة للمهاجمين بتنفيذ تعليمات برمجية خبيثة بمجرد قيام المستخدم بفتح ملف مضغوط ملغوم.
وفقاً لتقرير تيكبامين، تبدأ سلسلة العدوى باستخدام أداة تُعرف باسم GammaPhish، وهي تطبيق HTML خبيث يُستخدم لتحميل ملفات VBScript وسيطة تُسمى GammaLoad. تهدف هذه العملية إلى:
- تحديد هوية النظام المستهدف وجمع معلوماته الأساسية.
- تحديث إعدادات الشبكة في سجل النظام (Registry) باستخدام تقنيات متطورة.
- جلب وتنفيذ حمولات برمجية إضافية من خوادم القيادة والسيطرة.
كيف تعمل البرمجيات الخبيثة جاما وورم وجاما ستيل؟
تعتمد مجموعة جيماريدون على ترسانة متنوعة من البرمجيات الخبيثة، أبرزها دودة GammaWorm التي تتميز بقدرات عالية على الانتشار والبقاء داخل النظام. تعمل هذه الدودة على إخفاء المجلدات الأصلية في وحدات التخزين الخارجية (USB) واستبدالها بملفات اختصار (LNK) تؤدي عند الضغط عليها إلى تشغيل الكود الخبيث.
مميزات دودة GammaWorm التقنية:
- القدرة على التخفي باستخدام تقنية NTFS Alternate Data Streams.
- استخدام قنوات تليجرام العامة كخوادم لتوجيه الأوامر وتجنب الكشف.
- إنشاء مهام مجدولة لضمان البقاء داخل النظام حتى بعد إعادة التشغيل.
أما البرمجية الثانية، GammaSteel، فهي مصممة خصيصاً لسرقة المعلومات. تقوم هذه الأداة بمسح النظام بحثاً عن ملفات ذات امتدادات محددة، ثم تقوم برفعها إلى سحابة أمازون (AWS S3) أو خوادم بديلة يسيطر عليها المهاجمون. هذا الأسلوب يضمن للمجموعة الحصول على أكبر قدر من البيانات الاستخباراتية في وقت قصير.
لماذا تستهدف الهجمات السيبرانية الروسية أوكرانيا؟
لطالما كانت أوكرانيا ساحة اختبار للهجمات السيبرانية الروسية، حيث تركز مجموعة جيماريدون نشاطها على المؤسسات الحكومية والعسكرية والمنشآت الحيوية. يتم توزيع هذه البرمجيات غالباً عبر رسائل التصيد الاحتيالي التي تحتوي على ملفات RAR ملغومة، مستغلة حاجة الموظفين لفتح المستندات الرسمية.
تشير التحليلات إلى أن المجموعة تهدف إلى التجسس طويل الأمد وجمع المعلومات التي قد تخدم العمليات العسكرية على الأرض. كما يمكن استخدام هذه السلسلة من العدوى لنشر برمجيات أكثر تدميراً مثل GammaWipe، والتي تهدف إلى مسح البيانات تماماً من الأجهزة المصابة.
كيف تحمي بياناتك من هجمات جيماريدون المستمرة؟
على الرغم من أن الهجمات الحالية تستهدف جهات محددة في أوكرانيا، إلا أن الثغرات المستخدمة مثل ثغرة وينرار تشكل خطراً على جميع المستخدمين حول العالم. ينصح خبراء الأمن السيبراني باتباع الخطوات التالية لتعزيز الحماية:
- تحديث تطبيق WinRAR إلى أحدث إصدار متاح فوراً لسد الثغرات الأمنية.
- الحذر الشديد عند فتح مرفقات البريد الإلكتروني، خاصة الملفات المضغوطة من مصادر غير معروفة.
- استخدام برامج مكافحة فيروسات قوية ومحدثة قادرة على اكتشاف سلوك البرمجيات الخبيثة.
- مراقبة حركة الشبكة غير المعتادة المتوجهة نحو منصات مثل تليجرام أو خدمات السحابية غير المصرح بها.
في الختام، تظهر هذه العمليات مرونة عالية وقدرة كبيرة على التكيف من قبل المجموعات المدعومة من الدول، مما يتطلب يقظة دائمة وتعاوناً دولياً لتبادل المعلومات حول التهديدات السيبرانية الناشئة لحماية الفضاء الرقمي العالمي.
