القيادة الإلكترونية الأمريكية تكشف عن برمجيات روسية ضارة
كشفت القيادة الإلكترونية الأمريكية عن ثماني عينات لبرمجيات ضارة جديدة طورها قراصنة روس واستخدموها في الهجمات الأخيرة.
وهناك ست عينات خاصة بالبرمجات الضارة (ComRAT)، التي تستخدمها مجموعة الاختراق (Turla)، في حين أن النموذجين الأخريين عبارة عن عينات من برنامج (Zebrocy) الضار، الذي تستخدمه مجموعة القرصنة (APT28).
وتُعد كل من (ComRAT) و (Zebrocy) عائلتين من البرمجيات الضارة التي استخدمتها مجموعات القرصنة الروسية لسنوات.
وجرى استخدام (ComRAT) في الهجمات لأكثر من عقد، بعد أن تطور من برمجية (Agent.BTZ) الضارة القديمة.
وحدّثت (Turla) و (APT28) الأداتين باستمرار لإضافة تقنيات الهروب والحفاظ على البرامج الضارة غير المكتشفة.
وتهدف القيادة الإلكترونية الأمريكية إلى مشاركة الإصدارات الحديثة من أدوات القرصنة هذه مع عامة الناس، بحيث يمكن لمسؤولي النظام إضافة قواعد الكشف وتحديث تدابير الحماية.
وقامت قوة المهمة الوطنية الإلكترونية (CNMF) التابعة للقيادة الإلكترونية الأمريكية بتحميل عينات من إصدارات (ComRAT) و (Zebrocy) الجديدة عبر حساب (VirusTotal) الخاص بها.
ونشرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، بالتعاون مع مركز (CyWatch) التابع لمكتب التحقيقات الفيدرالي، تحذيرات أمنية تصف الأعمال الداخلية لبرمجيات (ComRAT) و (Zebrocy).
وكما أشارت شركة الأمن السيبراني السلوفاكية (ESET) هذا الأسبوع، فإن التنبيهات الأمريكية تمثل المرة الأولى التي تم فيها ربط (ComRAT) و (Zebrocy) رسميًا بوحدات التجسس الإلكتروني التابعة للحكومة الروسية.
وتم دائمًا ربط (ComRAT) و (Zebrocy) بطريقة غير رسمية بوحدات التجسس الإلكتروني التابعة للحكومة الروسية في التقارير التي تنشرها شركات الأمن الخاصة، لكن لم يتم ذلك في التحذيرات التي تنشرها الوكالات الحكومية.
ولم تربط حكومة الولايات المتحدة أيًا من هذه العينات الحديثة بأي حوادث أمنية حديثة.
ووفقًا لشركة (ESET)، فقد جرى استخدام (ComRAT) في الماضي لاستهداف وزارات الخارجية والبرلمان الوطني، بينما تم استخدام (Zebrocy) لاستهداف السفارات ووزارات الشؤون الخارجية.
وقالت القيادة الإلكترونية الأمريكية: تم التعرف على ضحايا كلا البرنامجين الضارين في أوروبا الشرقية وآسيا الوسطى.
ونشرت شركة (Accenture) للأمن السيبراني في وقت سابق من هذا الأسبوع تقريرًا عن عمليات (Turla) الأخيرة، واستخدامها للبرامج الضارة (ComRAT).
An implant dropper dubbed #ComRATv4 recently attributed by @CISAgov and @FBI to Russian sponsored APT, Turla. It was likely used to target ministries of foreign affairs and national parliament.
@CNMF_CyberAlert continues to disclose #malware samples on: https://t.co/fSgk1xpG8t pic.twitter.com/c2jmozTAyB— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) October 29, 2020
