كشف باحثون في الأمن السيبراني عن تطور خطير في ساحة الهجمات الرقمية، حيث تم رصد تعاون مباشر بين مجموعتي الاختراق الروسيتين Gamaredon وTurla لاستهداف الكيانات الأوكرانية. هذا التعاون يمثل نقلة نوعية في التجسس الإلكتروني الروسي، إذ يجمع بين خبرة Turla العريقة وأدوات Gamaredon المتجددة.
مقدمة حول المجموعتين
تُعد مجموعة Gamaredon من أبرز الفرق الروسية المتخصصة في شن الهجمات السيبرانية ضد أوكرانيا منذ عام 2013، بينما تمتلك مجموعة Turla (المعروفة أيضًا باسم Snake) تاريخًا يمتد إلى أوائل التسعينيات، حيث استهدفت حكومات ومؤسسات دبلوماسية في أوروبا وآسيا والشرق الأوسط.
أدوات Gamaredon في خدمة Turla
لاحظت شركة الأمن السيبراني السلوفاكية ESET أن أدوات Gamaredon مثل PteroGraphin وPteroOdd استُخدمت لتثبيت وتشغيل باب خلفي خطير يُعرف باسم Kazuar، وهو من تطوير Turla. هذه الخطوة تُظهر وجود تعاون مباشر حيث يوفر Gamaredon الوصول الأولي للأجهزة، بينما تستغل Turla هذا الاختراق لنشر أدواتها التجسسية المتقدمة.
أمثلة على التعاون المكتشف
- في فبراير 2025: تم استخدام أداة PteroGraphin لإعادة تشغيل Kazuar v3 بعد تعطل محتمل.
- في أبريل ويونيو 2025: تم نشر Kazuar v2 باستخدام أداة PteroOdd وPteroPaste.
- لوحظت مؤشرات Turla على سبع أجهزة أوكرانية خلال 18 شهرًا، أربعة منها اخترقت بواسطة Gamaredon في يناير 2025.
التكتيكات المستخدمة في الهجوم
اعتمدت الهجمات على سلسلة معقدة من الأدوات والبرمجيات الخبيثة. بدأت باستخدام PteroGraphin لتحميل برنامج PteroOdd، والذي بدوره جلب حمولة من منصة Telegraph لتثبيت Kazuar. بالإضافة إلى ذلك، تم جمع معلومات النظام مثل اسم الجهاز والبيانات التسلسلية وإرسالها إلى نطاقات خارجية.
| الأداة | المطور | الوظيفة |
|---|---|---|
| PteroGraphin | Gamaredon | تحميل وإعادة تشغيل باب خلفي |
| PteroOdd | Gamaredon | تنزيل الحمولة من Telegraph |
| Kazuar | Turla | باب خلفي للتجسس وجمع البيانات |
أهمية الهجمات الأخيرة
تمثل هذه الهجمات تطورًا في التجسس الإلكتروني الروسي، حيث يشير التعاون بين المجموعتين إلى مستوى جديد من التنسيق. ويرجح أن الغزو الروسي الشامل لأوكرانيا منذ عام 2022 كان أحد أهم المحفزات وراء هذا التلاقي، خاصة مع التركيز على القطاع الدفاعي الأوكراني.
خطورة Kazuar على الأمن السيبراني
يُعتبر Kazuar من الأدوات المتطورة، حيث يعتمد على لغة .NET ويتميز بقدرته على تحديث نفسه وتوسيع وظائفه، مثل دعم بروتوكولات جديدة للنقل عبر web sockets وExchange Web Services. هذه القدرات تمنحه مرونة عالية في تنفيذ عمليات التجسس والاختراق.
مميزات Kazuar
- إمكانية جمع معلومات حساسة عن النظام.
- استخدام تقنيات إخفاء متقدمة للتمويه.
- قابلية التحديث المستمر لمواجهة برامج الحماية.
الدروس المستفادة للجهات الدفاعية
تُظهر هذه التطورات الحاجة الملحة لتعزيز آليات الدفاع السيبراني في المؤسسات الحكومية والعسكرية، مع التركيز على:
- مراقبة مستمرة لحركة الشبكة لرصد السلوكيات المشبوهة.
- تحديث أنظمة الحماية باستمرار ضد البرمجيات الخبيثة الحديثة.
- تدريب الموظفين على التعامل مع محاولات التصيد والملفات الخبيثة.
خاتمة
إن تعاون Gamaredon وTurla يعكس مرحلة جديدة من التجسس الإلكتروني الروسي، حيث تندمج الأدوات والأساليب لتعزيز الفعالية ضد الأهداف الأوكرانية. هذا الواقع يفرض على المجتمع الدولي والشركات الأمنية رفع مستوى الجاهزية والاستثمار في حلول حماية أكثر تطورًا. وإذا كنت ترى أن هذه المعلومات مهمة، فلا تتردد في مشاركة المقال مع الآخرين أو ترك تعليق برأيك حول هذه التطورات.
