كشفت القيادة الإلكترونية الأمريكية عن معلومات مهمة تتعلق بعمليات زرع البرامج الضارة الروسية التي تستخدمها مجموعات القرصنة الروسية لتنفيذ هجمات استهدفت عدة وزارات للشؤون الخارجية والبرلمانات الوطنية والسفارات.
تم تحديد عينات البرامج الضارة بواسطة وحدة Cyber National Mission Force التابعة للقيادة الإلكترونية الأمريكية (CNMF) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) وتم تحميلها على منصة فحص الفيروسات عبر الإنترنت Virus Total.
كما نشرت CISA تقريرين بالتعاون مع FBI و CNMF يشرحان بالتفصيل معلومات إضافية تتعلق بالبرامج الضارة ComRAT و Zebrocy التي تستخدمها مجموعات القرصنة التي ترعاها الدولة الروسية Turla و APT 28 لتنفيذ الهجمات.
البرامج الضارة الروسية تستخدم الأبواب الخلفية
مجموعة Turla والتي يتم التعريف عنها أيضاً باسم VENOMOUS BEAR أو Waterbug، معروفة بنشاطها منذ عام 1996 خلال الهجمات التي استهدفت القيادة المركزية الأمريكية والبنتاغون وناسا. كما قامت المجموعة أيضاً بتشغيل برنامج الباب الخلفي ComRAT الخبيث لشن هجمات ضد وزارات الخارجية والبرلمانات الوطنية للتجسس وسرقة البيانات وتثبيت البرامج الضارة.
من جهته، يؤكد مكتب التحقيقات الفدرالي أن فريق APT الذي ترعاه روسيا، هو مجموعة تجسس نشطة لمدة عشر سنوات على الأقل، ويستخدم ComRAT الضار أيضاً لاستغلال شبكات الضحايا. هذا وتُعرف المجموعة جيداً بأدواتها المخصصة وعملياتها المستهدفة.
في سياق متصل، تم رصد برنامج الباب الخلفي Zebrocy أثناء استخدامه في الهجمات التي ركزت على السفارات ووزارات الخارجية من أوروبا الشرقية وآسيا الوسطى.
القيادة الإلكترونية الأمريكية
بدورها، أشارت CISA في بيان صادر عنها إلى أنه تم تقديم ملفين تنفيذيين من Windows تم تحديدهما على أنهما متغير جديد من Zebrocy backdoor للتحليل، يوضحان بأنه تم تصميم الملف للسماح لمشغل بعيد بأداء وظائف مختلفة على النظام المخترق.
وعلى الرغم من أن إرشادات CISA لا تذكر اسم الفاعل الذي يمثل التهديد وراء سلسلة الهجمات هذه، فإن Zebrocy معروف بعلاقته مع APT 28 (المعروفة باسم Sofacy و Fancy Bear و Sednit و STRONTIUM) التي تدعمها روسيا.
ومن المعروف أيضاً أنهم أعضاء في الوحدة 26165 والوحدة 74455 التابعة لمديرية المخابرات الروسية الرئيسية (GRU) والمتخصصة بتنسيق العديد من حملات التجسس الإلكتروني التي تستهدف الحكومات في جميع أنحاء العالم.
تجدر الإشارة إلى ان التقارير الاستشارية التي نشرتها CISA تزود المسؤولين والمستخدمين بأفضل الممارسات المصممة لمساعدتهم على تعزيز دفاعات مؤسساتهم ضد الهجمات الالكترونية الخبيثة المستقبلية المبنية على استخدام الأبواب الخلفية.