كاسبرسكي لاب: مجموعة Turla تجدد ترسانتها وتزودتها بأساليب تخريبية جديدة

اكتشف باحثون خبراء لدى كاسبرسكي لاب أن جهة التهديد الناطقة بالروسية (Turla) قد جددت ترسانتها وزودتها بأساليب تخريبية جديدة.

وعملت (Turla) على تغليف برمجيتها الخبيثة الشهيرة (KopiLuwak) بأداة توصيل جديدة تدعى (Topinambour)، وإنشاء نسختين متشابهتين بلغات أخرى.

كما وزعت المجموعة برمجيتها الخبيثة عن طريق أدوات خاصة بتنزيل البرمجيات مصممة لتخطي حجب المحتوى على الإنترنت.

ويعتقد الباحثون أن هذه الأساليب صممت لزيادة صعوبة عملية اكتشاف التهديدات وتسهيل استهداف الضحايا.

وكانت البرمجية (Topinambour) قد شوهدت في عملية استهدفت جهات حكومية أوائل العام الجاري 2019.

وتعتبر (Turla) جهة تهديد معروفة باهتمامها بعمليات التجسس الرقمي الموجهة ضد أهداف حكومية ودبلوماسية، وقد اكتسبت سمعة لابتكاراتها ولبرمجيتها الخبيثة الشهيرة (Topinambour)، التي شوهدت لأول مرة في العام 2016.

وقد استطاع باحثو كاسبرسكي لاب خلال العام الحالي الكشف عن أدوات وأساليب جديدة قدمتها (Turla)، والتي تهدف من خلالها إلى تسهيل التخفي والحد من احتمالية الكشف عن الهجوم.

وتستعمل (Turla) برمجية (Topinambour) لنشر البرمجية الخبيثة (KopiLuwak) وإيصالها عن طريق حزم تنزيل برمجية رسمية، مثل برمجيات (VPN) المُستخدمة للتحايل على الرقابة على الإنترنت.

وصممت (KopiLuwak) خصيصًا لتنفيذ عمليات تجسس رقمي، وقد انطوت أحدث عملية نفذتها (Turla) على أساليب ساعدت البرمجية الخبيثة على التخفي وتجنب الكشف عنها.

وتحتوي منظومة القيادة والسيطرة على عناوين (IP) تحاكي عناوين (LAN) العادية، ما يسهل عملية التمويه.

ويعتقد الباحثون أن هذه النوعيات من البرمجيات الخبيثة تُستخدم في حال تمتع الحاسب المُستهدف بالقدرة على كشف وجود (KopiLuwak) باستخدام حل أمني مناسب.

وتستطيع هذه البرمجيات للقيام بما يلي بمجرد تفعيلها:

  • تحديد طبيعة الهدف لفهم نوعية الحاسب المُصاب.
  • جمع المعلومات على محولات النظام والشبكة.
  • سرقة الملفات.
  • تحميل المزيد من البرمجيات الخبيثة وتنشيطها.
  • التقاط صور للشاشة.

وقال كورت بومغارتنر Kurt Baumgartner، أحد كبار الباحثين الأمنيين في كاسبرسكي لاب: إن (Turla) ظهرت في العام 2019 بحلة جديدة من الأدوات التخريبية، مع تقديمها عددًا من الأساليب الجديدة الهادفة إلى التقليل من قدرة الحلول الأمنية والباحثين على الكشف عنها.

وأضاف “تضمن هذه التقنيات التقليل من البصمة الرقمية للبرمجية الخبيثة”، مؤكدًا على أن استغلال أدوات تنزيل برمجيات (VPN) يوضح أن المهاجمين لديهم أهداف محددة وواضحة للتجسس عليها عن طريق هذه الأدوات.

واعتبر كورت بومغارتنر أن تطور ترسانة (Turla) المستمر يشكل تذكيرًا قويًا بأهمية الحلول الأمنية التي تحمي الأنظمة من أحدث التقنيات والأساليب التي توظفها الجهات الكامنة وراء التهديدات المتقدمة المستمرة.

وتقترح كاسبرسكي لاب اتخاذ التدابير التالية للتقليل من احتمالية الوقوع ضحية لعمليات تجسس رقمية متطورة:

  • توعية الموظفين أمنيًا عن طريق شرح سبل ملاحظة التطبيقات أو الملفات التي قد تحوي برمجيات خبيثة والابتعاد عنها.
  • تطبيق حلول الكشف والاستجابة، مثل (Kaspersky Endpoint Detection and Response)، للكشف عن التهديدات.
  • وضع حل أمني مؤسسي للكشف عن التهديدات المتقدمة على مستوى الشبكة بأكملها في مرحلة مبكرة، مثل (Kaspersky Anti Targeted Attack Platform).
  • تزويد فريق مركز العمليات الأمنية بأحدث المعلومات المتعلقة بالتهديدات الجديدة لمواكبة أحدث المستجدات فيما يخص الأدوات والأساليب.