الكشف عن مجموعة تهديدات إلكترونية مدعومة من الكرملين الروسي

أصدرت أحدى الشركات العالمية الرائدة في مجال التصدي للهجمات الالكترونية المتقدمة تقريرًا اعن تهديد استخباراتي جديد تحت عنوان “HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group.” يتعلق بالكشف عن مجموعة روسية للتهديد الالكتروني. ويقوم التقرير بتحليل التكتيكات الخاصة بطريقة العمل وأساليب التخفي لمجموعة متقدمة من البرمجيات الخبيثة تستخدمها على الأرجح مجموعة التهديد المتقدم المستمر (APT) وتدعمها الحكومة الروسية، والتي أطلق عليها مجموعة (APT29).

وأظهرت مجموعة (APT29)، منذ عام 2014 على الأقل، قدرات قوية جدًا لتعديل أنشطتها والتعتيم عليها والتخفي من إجراءات الحماية الشبكية، بما في ذلك قدرتها على الرصد الدقيق لأنظمة الحماية عن الشبكات و/أو أساليب التحقيق التقني للكشف عن أي جرائم إلكترونية ومحاولة تدميرها. ونظرًا لمنهجهم في الأمن التشغيلي، فإن هذه المجموعة تتميز عن غيرها من مجموعات التهديد المتقدم المستمر (APT) الروسية الأخرى التي ترصدها "فاير آي".

وقالت لورا جالانت، مديرة استخبارات التهديدات في "فاير آي": " يمثل النهج الجديد الذي تتبعه مجموعة APT29 في تنفيذ هجماتها وتعزيز وجودها في الشبكات مستوى من الصعوبة للمتخصصين الأمنيين الذين يمكن أن يشهدوا بأنفسهم تسلل هذه المجموعة إلى أنشطة شبكاتهم الأمنية". وأضافت: "بما أننا نواصل تتبع APT29، فسنتمكن من الكشف عن المزيد من معلومات الاستخبارات، وهو ما سيساعد عملائنا في تحسين إجراءات دفاعهم ضد الهجمات المتقدمة."

وتتبع برمجيات HAMMERTOSS الخبيثة التي تستخدمها APT29 نظاما لاسترجاع الأوامر خطوة بخطوة عن طريق خدمات الويب المشتركة التي تتفادى في الغالب الاكتشاف المبكر، ويتضمن:

الإرشاد في كل يوم عن تتبع مختلف لروابط وأوسمة (Hashtags) لموقع تويتر

متابعة روابط وسائل التواصل الاجتماعي لمواقع مثل GitHub التي تستضيف الصور مع الأوامر المخفية داخلها باستخدام طريقة معروفة باسم ستيجانوجرافي (Steganography)

تنفيذ الأوامر واستخراج البيانات من أجهزة الضحايا المستهدفين قبل رفعها على خدمات التخزين السحابي