كشفت تقارير أمنية حديثة عن استخدام مجموعة القراصنة الروسية المدعومة من الدولة، والمعروفة باسم APT28، لبرمجيات تجسس جديدة وخطيرة لاستهداف أفراد الجيش الأوكراني ومراقبتهم باستمرار.
وبحسب ما تابعه فريق تيكبامين، فقد تم رصد استخدام عائلتين من البرمجيات الخبيثة، وهما BEARDSHELL و COVENANT، في هجمات سيبرانية معقدة بدأت منذ شهر أبريل 2024.
من هي مجموعة القراصنة APT28؟
تُعرف مجموعة APT28 بالعديد من الأسماء المستعارة في عالم الأمن السيبراني، مثل Fancy Bear و Forest Blizzard و Pawn Storm.
وهي عبارة عن جهة فاعلة مدعومة من الدولة، وترتبط ارتباطاً وثيقاً بالوحدة 26165 التابعة لوكالة الاستخبارات العسكرية في الاتحاد الروسي (GRU).
وتمتلك هذه المجموعة تاريخاً طويلاً من الهجمات الموجهة ضد أهداف حكومية وعسكرية حول العالم، مما يجعلها واحدة من أخطر مجموعات التهديد المتقدم المستمر (APT).
ما هي أبرز أدوات التجسس المستخدمة في الهجوم؟
تتكون ترسانة البرمجيات الخبيثة الخاصة بهؤلاء القراصنة من أدوات متطورة للغاية، والتي تم تصميمها خصيصاً لسرقة البيانات الحساسة من الأجهزة المخترقة.
وقد حدد خبراء الأمن السيبراني أبرز هذه الأدوات في القائمة التالية:
- برمجية BEARDSHELL: باب خلفي (Backdoor) قادر على تنفيذ أوامر PowerShell على أنظمة الضحايا.
- برمجية COVENANT: أداة خبيثة تعمل جنباً إلى جنب مع باقي الترسانة لتسهيل الاختراق والتحكم.
- برنامج SLIMAGENT: أداة متطورة قادرة على تسجيل ضغطات المفاتيح، والتقاط شاشات الأجهزة، وجمع بيانات الحافظة (Clipboard).
جذور برنامج SLIMAGENT وتاريخه
تعود جذور برنامج SLIMAGENT إلى برمجية XAgent الشهيرة، وهي أداة سابقة استخدمتها مجموعة APT28 بنجاح كبير في العقد الماضي لتسهيل التحكم عن بعد وسرقة البيانات.
ويقوم هذا البرنامج الخبيث بإصدار سجلات التجسس الخاصة به بتنسيق HTML، حيث يستخدم ألواناً محددة لتمييز البيانات المسروقة بدقة:
- اللون الأزرق: يشير إلى اسم التطبيق المستخدم من قبل الضحية.
- اللون الأحمر: يستخدم لتسجيل ضغطات المفاتيح.
- اللون الأخضر: يوضح اسم النافذة المفتوحة على الشاشة.
كيف تعمل برمجية BEARDSHELL الخبيثة؟
تعتبر برمجية BEARDSHELL جزءاً أساسياً وفعالاً من هذه الهجمات الموجهة. وتتميز هذه البرمجية باستخدام خدمة التخزين السحابي الشرعية "Icedrive" كخادم للقيادة والسيطرة (C2)، مما يجعل اكتشافها أمراً صعباً.
علاوة على ذلك، تستخدم البرمجية تقنية تشويش مميزة ومعقدة تُعرف باسم "Opaque Predicate" للتهرب من برامج الحماية ومضادات الفيروسات.
وقد تم رصد هذه التقنية النادرة سابقاً في أداة XTunnel، والتي استخدمتها المجموعة بنجاح في اختراق شبكة اللجنة الوطنية الديمقراطية (DNC) عام 2016.
ما هي أهداف مجموعة APT28 من هذا الهجوم؟
تهدف مجموعة قراصنة APT28 من خلال نشر هذه البرمجيات المتقدمة إلى تحقيق اختراق عميق ومستدام للشبكات العسكرية الأوكرانية.
وتشمل الأهداف الرئيسية لهذه الحملة السيبرانية الخطيرة ما يلي:
- سرقة المعلومات الاستراتيجية والوثائق العسكرية الحساسة.
- التجسس المستمر على اتصالات أفراد الجيش والضباط.
- جمع بيانات تسجيل الدخول للوصول إلى أنظمة أكثر أهمية.
- إنشاء قنوات اتصال خفية تضمن بقاء المهاجمين داخل الشبكة لأطول فترة ممكنة.
مخاطر استمرار الهجمات السيبرانية
في الختام، يؤكد موقع تيكبامين أن الاستخدام المشترك لتقنيات التشويش النادرة وتواجد هذه البرمجيات معاً يثبت قدرة المجموعة الروسية على تطوير ترسانتها بشكل مستمر لمواجهة التحديثات الأمنية.
ويبقى الحذر واجباً على كافة المؤسسات العسكرية والحكومية لضرورة تحديث أنظمتها الأمنية، ومراقبة حركة مرور الشبكة باستمرار، والتصدي لهذه التهديدات المتزايدة في الفضاء الرقمي بشكل استباقي.
