البرامج الضارة الروسية الجديدة في العمل

العالم الغامق التجسس السيبراني لديه لاعب جديد في الميدان: قطعة متستر من البرامج الضارة التي يطلق عليها اسم “Lostkeys”. وفق جوجل، مدعوم من الدولة الروسية البرامج الضارة يستخدم الطاقم المعروف باسم ColdRiver Lostkeys منذ بداية العام للتطفل على الحكومات الغربية والصحفيين والخزانات الفكرية والمنظمات غير الحكومية.

ColdRiver ليس بالضبط طفل جديد على الكتلة. في ديسمبر / كانون الأول ، وجهت المملكة المتحدة وحلفاءها الذكاء “Five Eyes” الإصبع عليهم. كانت مجموعة القرصنة مرتبطة ارتباطًا مباشرًا بخدمة الأمن الفيدرالية الروسية (FSB) ، والتي هي في الأساس مكافحة التجهيزات والأمن الداخلي Bigwig.

تكشف Google عن Lostkeys ، البرامج الضارة المرتبطة بروسيا

رصدت مجموعة Google التهديد الاستخباراتية (GTIG) لأول مرة Lostkeys في يناير. يبدو أن ColdRiver قد نشرها في هجمات “ClickFix” المستهدفة للغاية. فكر في هذه الوظائف الرقمية التي يخدعون فيها الناس في إدارة البرامج النصية المراوغة. في الأساس ، تعتمد هجمات ClickFix على الهندسة الاجتماعية الكلاسيكية.

مرة واحدة البرامج النصية تعمل، يمتلكون الطريق لمزيد من القلق من PowerShell لتنزيل وتنفيذ. هدفهم الرئيسي هو تثبيت LostKeys ، والذي حدده Google على أنه برامج Malware Script (VBS) Visual Basic Script (VBS). وفق تقرير GTIG، يشبه LostKeys “نظافة الفراغ الرقمي” الذي يستخرج ملفات وأدلة محددة. أيضا يرسل معلومات النظام ويدير العمليات مرة أخرى إلى المهاجمين.

يتضمن MO المعتاد لـ ColdRiver سرقة تفاصيل تسجيل الدخول إلى رسائل البريد الإلكتروني والاتصالات. ومع ذلك ، من المعروف أيضًا أنها تنشر برامج ضارة أخرى تسمى Spica للاستيلاء على المستندات والملفات. يبدو أن Lostkeys يخدم غرضًا مشابهًا ، لكن يتم إحضاره فقط لهؤلاء “حالات انتقائية للغاية” هذا يشير إلى أنها أداة أكثر تخصصًا في مجموعة أدوات التجسس الخاصة بـ ColdRiver.

ومن المثير للاهتمام ، أن ColdRiver ليس المجموعة الوحيدة التي ترعاها الدولة في هجمات ClickFix هذه. يبدو أن العالم السفلي الإلكتروني من محبي هذا التكتيك ، حيث ترتبط مجموعات مرتبطة بكوريا الشمالية (Kimsuky) وإيران (Muddywater) وحتى الممثلين الروسيين الآخرين (APT28 و Unk_Remoterogue) جميعهم يستخدمون أساليب مماثلة في حملات التجسس الأخيرة.

يعمل ColdRiver منذ عام 2017

يُعرف ColdRiver أيضًا ببعض الأسماء المستعارة الأخرى ، مثل Star Blizzard و Callisto Group. لقد تم شحذ مهاراتهم في الهندسة الاجتماعية ومهارات الاستخبارات مفتوحة المصدر لخداع الأهداف منذ عام 2017 على الأقل. تراوحت أهدافهم من المنظمات الدفاعية والحكومية إلى المنظمات غير الحكومية والسياسيين. ازدادت هجمات المجموعة ، خاصة بعد غزو روسيا لأوكرانيا ، حتى توسعت إلى مواقع الدفاع الصناعية ووزارة الطاقة الأمريكية.

لقد صفعت وزارة الخارجية الأمريكية عقوبات على اثنين من عملاء ColdRiver (وبحسب ما ورد ضابط FSB). حاليًا ، تقدم السلطات الأمريكية مكافأة ضخمة بقيمة 10 ملايين دولار لأي نصائح يمكن أن تساعد في تعقب الأعضاء الآخرين. هذا يعكس مستوى الجدية التي تأخذ بها الولايات المتحدة المجموعة.