"أكتوبر الأحمر" حملة تجسسية تستهدف الحكومات منذ خمس سنوات

الهدف الأول من الحملة كان دول شرق أوربا، والجمهوريات السوفيتية السابقة ودول وسط آسيا.

السمات: الجرائم الرقميةKaspersky Lab
  • E-Mail
(Getty Images)
 رياض ياسمينة بقلم  January 15, 2013 منشورة في 

كشفت كاسبرسكي لاب من خلال تقرير بحثي جديد عن حملة تجسسية الكترونية تستهدف المنظمات البحثية الدبلوماسية، الحكومية والعلمية البحثية في عدد من الدول خلال السنوات الخمس الفائتة.

وتقول الشركة أن الهدف الأول من الحملة كان دول شرق أوربا، والجمهوريات السوفيتية السابقة ودول وسط آسيا، إلا أن ضحايا هذه الحملة يمكن إيجادهم في أي مكنا بما في ذلك غرب أوربا وأمريكا الشمالية. وقد كان الهدف الأساسي للمهاجمين يكمن في جمع الوثائق الحساسة من المنظمات المستهدفة والتي شملت معلومات جيوسياسية، بيانات الدخول إلى أنظمة الحاسوب والبيانات من أجهزة المحمول الشخصية والمعدات الشبكية.

في أكتوبر 2012 أطلق فريق كاسبرسكي لاب تحقيقا بعد سلسلة من الهجمات ضد شبكات الحاسوب التي تستهدف وكالات خدمية دبلوماسية دولية. وقد تم خلال التحقيق الكشف عن شبكة تجسسية الكترونية واسعة النطاق وجرى تحليلها. وفقا لتقرير كاسبرسكي لاب، لا تزال عملية Red October، التي أطلق عليها Rocra فاعلة وفقا لمعطيات شهر يناير 2013  وتعود بداياتها إلى عام 2007.

ومن أهم نتائج البحث

واصل المهاجمون نشاطهم منذ 2007 وركزوا اهتمامهم على الوكالات الدبلوماسية والحكومية لدول مختلفة في العالم إضافة إلى المؤسسات البحثية، منظومات طاقوية ونووية وأهداف تعنى بالتجارة وعلوم الطيران والفضاء. وقد صمم ناشطو Red October برنامجهم الخبيث ويعرف بـRocra، ويتمتع بهيكلية بنيوية تتألف من إضافات خبيثة، بنى سارقة للبيانات وبرامج أحصنة طروداة.

واستخدم المهاجمون عادة المعلومات المستخلصة من الشبكات المصابة كسبيل إلى الحصول على إمكانية الدخول إلى الأنظمة الإضافية. على سبيل المثال، تم جمع معلومات الدخول المسروقة في قائمة استخدمت عند الحاجة إلى تخمين كلمات المرور أو الجمل للحصول على إمكانية الدخول إلى الأنظمة الإضافية.

وقد قام المهاجمون باختلاق أكثر من 60 اسم نطاق وعدة خوادم مضيفة في مختلف أنحاء العالم كان غالبيتها في ألمانيا وروسيا لمراقبة شبكة الحواسب المصابة. ويظهر تحليل كاسبرسكي لاب لخوادم الأوامر والمراقبة لـ Rocra أن سلسلة الخوادم فعليا كانت تعمل كخوادم الوكيل بغية إخفاء مكان تموضع خادم المراقبة "الأم".

وتتضمن المعلومات المسروقة من الأنظمة المصابة وثائق لها الأنساق التالية: txt، csv، eml، doc، vsd، sxw، odt، docx، rtf، pdf، mdb، xls، wab، rst، xps، iau، cif، key، crt، cer، hse، pgp، gpg، xia، xiu، xig، acidcsa، acidsca، aciddsk، acidpvr، acidppr، acidssa. وتحديدا نسق acid يبدو أنه يشير إلى برنامج مصنف Acid Cryptofiller الذي يستخدم من قبل عدد من المؤسسات ابتداء بالاتحاد الأوروبي وانتهاء بالناتو.

إصابة الضحايا

وبهدف إصابة الأنظمة قام المهاجمون بإرسال رسالة الكترونية تصيدية إلى الضحية تضمنت برنامج حصان طروادة من نوع dropper. وبغية تثبيت البرنامج الخبيث وإصابة النظام تضمن البرنامج الخبيث أجزاء مستغلة أعدت خصيصا لاستغلال الثغرات الأمنية في Microsoft Office وMicrosoft Excel. وكانت هذه البرمجيات المستغلة في الرسائل التصيدية قد صممت من قبل المهاجمين واستخدمت خلال هجمات الكترونية مختلفة بما فيها هجمات ناشطي التيبت إضافة إلى أهداف عسكرية وطاقوية في آسيا. وكان الشيء الوحيد الذي تم تغييره في الملف المستخدم في Rocra كان الملف التنفيذي المدمج الذي استبدله المهاجمون بشيفرتهم الخاصة. والجدير بالذكر أن أحد الأوامر في برنامج حصان طروادة من نوع dropper قد غير رموز صفحة النظام الافتراضي لجلسة موجه الأوامر إلى 1251  المطلوب عند توفير شكل الحروف Cyrillic.

المنظمات المستهدفة

لقد استخدم خبراء كاسبرسكي لاب أسلوبين لتحليل المنظمات المستهدفة. أولا، استخدموا إحصائيات الكشف من شبكة كاسبرسكي للأمان (KSN) الذي يعد خدمة أمنية تعتمد على الحوسبة السحابية وتستخدم من قبل منتجات كاسبرسكي لاب لإرسال البيانات عن بعد وتوفير حماية مطورة من التهديدات على شكل قوائم سوداء وقواعد الكشف التجريبي. وقد بدأت شبكة كاسبرسكي للأمان بالكشف عن الشيفرة المستغلة في البرمجيات الخبيثة منذ عام 2011، ما سمح لخبراء كاسبرسكي لاب البحث عن اكتشافات مشابهة لا صلة لها بـRocra. ويتضمن الأسلوب الثاني المستخدم من قبل فريق البحث في كاسبرسكي لاب تشكيل خادم "حفرة الإغراق" (sinkhole)، ليتمكنوا من مراقبة الحواسب المصابة المتصلة بخوادم الأوامر والمراقبة لـRocra. توفر البيانات التي يتم الحصول عليها بفضل الأسلوبين طريقتين مستقلتين لربط النتائج والتحقق منها.

 

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code