يتهم فريق أمان Google جواسيس روس بالوقوف وراء البرامج الضارة الجديدة Campaign

يقول باحثو جوجل إن هناك أدلة على أن مجموعة قرصنة سيئة السمعة مرتبطة بروسيا يتم تتبعها باسم "ColdRiver" تطور تكتيكاتها من التصيد الاحتيالي إلى البرامج الضارة لسرقة البيانات التي تستهدف الضحايا.

وتشتهر شركة ColdRiver، المعروفة أيضًا باسم "CallistoGroup" و"StarBlizzard"، بأنشطتها التجسسية طويلة الأمد ضد دول الناتو، وخاصة الولايات المتحدة والمملكة المتحدة.

ويعتقد الباحثون أن أنشطة الجماعة غالبا ما تستهدف أفرادا ومنظمات رفيعة المستوى تشارك في الشؤون الدولية والدفاع، مما يشير إلى علاقاتها الوثيقة بروسيا. ووجه ممثلو الادعاء الأمريكيون في ديسمبر/كانون الأول الماضي اتهامات إلى روسيين اثنين لهما صلات بالجماعة.

وفي بحث جديد هذا الأسبوع، قالت مجموعة تحليل التهديدات (TAG) التابعة لشركة Google إنها لاحظت قيام ColdRiver بتكثيف أنشطتها في الأشهر الأخيرة واستخدام تكتيكات جديدة قادرة على إلحاق المزيد من الضرر بضحاياها، وخاصة أهداف في أوكرانيا وحلفائها في الناتو والمؤسسات الأكاديمية والمنظمات غير الحكومية.

وتأتي هذه النتائج الأخيرة بعد فترة وجيزة من إعلان باحثي مايكروسوفت أن مجموعة القرصنة المتحالفة مع روسيا حسنت قدرتها على تجنب الكشف.

شارك باحثو TAG البحث قبل إصداره يوم الخميس، حيث لاحظوا أن ColdRiver ابتعدت عن تكتيكها المعتاد المتمثل في التصيد الاحتيالي للحصول على بيانات الاعتماد وبدلاً من ذلك قامت بنشر البرامج الضارة من خلال الحملات التي تستخدم مستندات PDF كطعم.

وقالت TAG إنه منذ نوفمبر 2022، أرسلت ColdRiver عددًا من مستندات PDF إلى الأهداف، والتي تم إخفاءها في شكل مقالات تحرير رأي أو أنواع أخرى من المقالات، وتأمل الحسابات المخادعة في الحصول على تعليقات حول هذه المقالات.

عندما يفتح الضحية ملف PDF حميد، يظهر النص مشفرًا. إذا أجاب الهدف بأنه لا يستطيع قراءة المستند، يرسل المتسللون رابطًا إلى أداة "فك التشفير"، والتي يقول باحثو Google إنها باب خلفي مخصص يتم تتبعه باسم "SPICA". وقالت جوجل إن هذا هو أول برنامج ضار مخصص تم تطويره واستخدامه بواسطة ColdRiver. يسمح هذا الباب الخلفي للمهاجمين بالوصول المستمر إلى جهاز الضحية وتنفيذ الأوامر وسرقة ملفات تعريف الارتباط للمتصفح وتسريب المستندات.

قال بيلي ليونارد، مهندس الأمن في TAG، إن Google لا تعرف عدد الضحايا الذين تم اختراقهم بنجاح بواسطة SPICA، لكنه قال إن Google تعتقد أن SPICA يُستخدم فقط في "هجمات محدودة ومستهدفة للغاية". وأضاف ليونارد أنه من المحتمل أن تكون البرامج الضارة لا تزال قيد التطوير النشط ويتم استخدامها في الهجمات المستمرة، وأن نشاط ColdRiver "ظل ثابتًا إلى حد ما خلال السنوات القليلة الماضية" على الرغم من إجراءات إنفاذ القانون.

قالت جوجل إنه بعد اكتشاف حملة البرامج الضارة ColdRiver، أضافت شركة التكنولوجيا العملاقة جميع مواقع الويب والمجالات والملفات المحددة إلى خدمة التصفح الآمن الخاصة بها لمنع الحملة من استهداف مستخدمي Google بشكل أكبر.

وربط باحثو جوجل في السابق مجموعة ColdRiver بعملية قرصنة وتسريب أدت إلى سرقة وتسريب عدد كبير من رسائل البريد الإلكتروني والوثائق من كبار مؤيدي خروج بريطانيا من الاتحاد الأوروبي، بما في ذلك السير ريتشارد ديرلوف، الرئيس السابق لجهاز المخابرات الخارجية البريطانية MI6.