متابعات-ميكسي نيوز
التجسس الروسية….قام باحثو الأمن السيبراني اليوم بتخليص الأرفف الخلفية غير الموثقة سابقًا وسرقة وثيقة تم نشرها مقابل أهداف محددة من عام 2015 إلى أوائل عام 2020.
اسمه “عكاز“من قبل باحثو ESET ، نسبت البرامج الضارة إلى تورلا (AKA Bear أو Snake Bear) ، وهي مجموعة متسللة متقدمة مقرها روسيا معروفة بهجماتها الواسعة ضد الحكومات والسفارات والمنظمات العسكرية من خلال مختلف حملات الرمح وصيد الرمح.
وقالت شركة الأمن السيبراني في تحليل مشترك مع أخبار هاكر: “لقد تم تصميم هذه الأدوات لتوضيح المستندات الحساسة والملفات الأخرى لحسابات Dropbox التي يتحكم فيها مشغلو Turla”.
تم تثبيت زراعة الباب الخلفي سراً على العديد من الآلات التي تخص وزارة الخارجية في بلد لم يكشف عن اسمه في الاتحاد الأوروبي.
إلى جانب تحديد الروابط القوية بين عينة عكاز من عام 2016 والورقة الخلفية في المرحلة الثانية الأخرى التي تسمى الغازرتشير أحدث البرامج الضارة في مجموعة أدواتها المتنوعة إلى التركيز المستمر للمجموعة على التجسس والاستطلاع ضد الأهداف البارزة.
يتم تسليم العكاز إما عبر قائد جناح ، زرع من المرحلة الأولى التي تعزى مسبقًا إلى Turla ، أو وكيل ما بعد الاستغلال يسمى PowerShell Empire، مع نسختين مختلفتين من البرامج الضارة التي شوهدت قبل وبعد منتصف عام 2019.
بينما تضمن الأول الباب الخلفي الذي يتصل بحساب Dropbox المتشددين باستخدام واجهة برمجة تطبيقات HTTP الرسمية لتلقي الأوامر وتحميل النتائج ، فإن المتغير الأحدث (“Crutch V4”) يتجنب الإعداد لميزة جديدة يمكنها تلقائيًا تحميل الملفات الموجودة على DRIVES المحلية إلى Dropbox باستخدام نظام Windows Wetg.
وقال باحث ESET ماتيو فاو: “إن تطور الهجمات والتفاصيل الفنية للاكتشاف يزيد من تصور أن مجموعة تورلا لديها موارد كبيرة لتشغيل مثل هذا الترسانة الكبيرة والمتنوعة”.
“علاوة على ذلك ، فإن Crutch قادر على تجاوز بعض الطبقات الأمنية عن طريق إساءة استخدام البنية التحتية المشروعة – هنا ، Dropbox – من أجل المزج في حركة الشبكة العادية مع استئصال المستندات المسروقة وتلقي أوامر من مشغليها.”
