مجموعة Turla التخريبية تخبئ البرمجيات الخبيثة في برمجيات مضادة لحجب محتوى الإنترنت

اكتشف باحثون خبراء لدى كاسبرسكي أن جهة التهديد الناطقة بالروسية Turla قد جدّدت ترسانتها وزودتها بأساليب تخريبية جديدة؛ إذ عملت على تغليف برمجيتها الخبيثة الشهيرة KopiLuwak المبنية بلغة JavaScript، بأداة توصيل جديدة تدعى Topinambour، لتضع نسختين جديدتين مماثلتين في تصميمهما لهذه البرمجية الخبيثة ولكن بلغتين أخريين، وكذلك نشر البرمجية الخبيثة عن طريق أدوات خاصة بتنزيل البرمجيات المصممة لتخطي حجب المحتوى على الإنترنت. ويعتقد الباحثون أن هذه الأساليب صُمّمت لتصعّب عملية اكتشاف التهديدات وتسهّل استهداف الضحايا. وكانت البرمجية Topinambour شوهدت في عملية استهدفت جهات حكومية أوائل العام الجاري 2019.

وتعتبر Turla جهة تهديد معروفة باهتمامها بعمليات التجسّس الرقمي موجهة ضد أهداف حكومية ودبلوماسية، وقد اكتسبت سمعة لابتكاراتها ولبرمجيتها الخبيثة الشهيرة Topinambour، التي شوهدت لأول مرة في العام 2016. وقد استطاع باحثو كاسبرسكي خلال العام 2019 الكشف عن أدوات وأساليب جديدة قدمتها Turla، هدفها تسهيل التخفّي والحدّ من احتمالية الكشف عن الهجوم.

تستعمل Turla برمجية Topinambour، وهي ملف بتهيئة NET جديدة لنشر البرمجية الخبيثة KopiLuwak وإيصالها عن طريق حزم تنزيل برمجية رسمية، مثل برمجيات الشبكات الافتراضية الخاصة التي تُستخدم لتخطي حجب المحتوى على الإنترنت.

وصُمم KopiLuwak خصيصاً لتنفيذ عمليات تجسس رقمي، وقد انطوت أحدث عملية نفذتها Turla على أساليب ساعدت البرمجية الخبيثة على التخفي وتجنب الكشف عنها. وتحتوي منظومة القيادة والسيطرة على عناوين لبروتوكول الإنترنت تشبه تلك الواقعة في محيط الشبكة المحلي، ما يسهّل عملية التمويه. من الجدير بالذكر أيضاً أن البرمجية لا أثر لها على شكل ملف في الحاسوب، بل إن عملية الإصابة تتم عن طريق تروجان مشفّر صُمِّم للتحكم عن بعد، ولتضمين نفسه في سجل الحاسوب، ما يسمح للبرمجية الخبيثة باستخدامه لاحقاً.

وصُمم تروجانان نظيران لبرمجية KopiLuwak بهدف التجسس الرقمي، هما .NET RocketMan، وPowerShell MiamiBeach المبني باستخدام PowerShell. ويعتقد الباحثون أن هذه النوعيات تستخدم في حال تمتع الحاسوب المستهدف بالقدرة على كشف وجود KopiLuwak باستخدام حل أمني مناسب. وتستطيع هذه البرمجيات الثلاث فور تفعيلها القيام بما يلي:

• تحديد طبيعة الهدف لفهم نوعية الحاسوب الذي تمّت إصابته
• جمع المعلومات عن موائمات النظام والشبكة
• سرقة الملفات
• تحميل المزيد من البرمجيات الخبيثة وتنشيطها
• بإمكان MiamiBeach أيضاً التقاط صور للشاشة

وقال كورت بومغارتنر، أحد كبار الباحثين الأمنيين في كاسبرسكي، إن Turla ظهرت في العام 2019 بحلّة جديدة من الأدوات التخريبية، مقدّمة عدداً من الأساليب الجديدة التي قد يكون الهدف منها التقليل من قدرة الحلول الأمنية والباحثين على الكشف عنها، وأضاف: "تضمن هذه التقنيات التقليل من البصمة الرقمية للبرمجية الخبيثة، وتصميم نوعين مختلفين من الناحية الهيكلية ولكن مشابهين بالغرض لبرمجية KopiLuwak الشهيرة". وأكّد أن استغلال أدوات تنزيل برمجيات الشبكات الافتراضية الخاصة يشير إلى أن المهاجمين "لديهم أهداف محددة وواضحة للتجسّس عليها عن طريق هذه الأدوات"، معتبراً أن في تطور ترسانة Turla المستمر "تذكير قوي" بأهمية الحلول الأمنية التي تحمي الأنظمة من أحدث التقنيات والأساليب التي توظفها الجهات الكامنة وراء التهديدات المتقدمة المستمرة، وانتهى إلى القول: "قد تكون حماية النقاط الطرفية وتفقد أجزاء الملفات بعد تنزيل برمجيات التثبيت، مفيدة في الحماية من تهديدات مثل Topinambour".

وتقترح كاسبرسكي اتخاذ التدابير التالية للتقليل من احتمالية الوقوع ضحية لعمليات تجسّس رقمي متطورة:

• توعية الموظفين أمنياً عن طريق شرح سبل ملاحظة التطبيقات أو الملفات التي قد تحوي برمجيات خبيثة والابتعاد عنها. فلا يفترض للموظفين مثلاً تنزيل أو تشغيل برمجيات مجهولة المصدر أو غير موثوق بها.
• تطبيق حلول الكشف والاستجابة، مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات على مستوى النقاط الطرفية، والتعامل معها قبل فوات الوقت.
• وإضافة إلى حماية الأجهزة ذاتها، يجب وضع حل أمني مؤسسي للكشف عن التهديدات المتقدمة على مستوى الشبكة بأكملها في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تزويد فريق مركز العمليات الأمنية بأحدث المعلومات المتعلقة بالتهديدات الجديدة، لمواكبة أحدث المستجدات فيما يختص بالأدوات والأساليب التي توظفها جهات التهديد.

يمكن الاطلاع على التقرير الكامل عبر Securelist.