دعوى عاجلة جديدة تطالب بوقف تنفيذ قرار جمهوري بشأن اتفاقية جزيرتي تيران وصنافير    سعر الذهب اليوم الأحد 4 مايو 2025 في مصر.. استقرار بعد الانخفاض    مختص بالقوانين الاقتصادية: أي قانون يلغي عقود الإيجار القديمة خلال 5 سنوات "غير دستوري"    الأرصاد تكشف طقس الساعات المقبلة: أمطار وعودة الأجواء الباردة    تنفيذاً لقرار مجلس الوزراء.. تحرير 148 مخالفة عدم غلق المحلات في مواعيدها    مينا مسعود يحضر العرض المسرحي في يوم وليلة ويشيد به    الإفتاء توضح: هذا هو التوقيت الصحيح لاحتساب منتصف الليل في مناسك الحج لضمان صحة الأعمال    عشان دعوتك تتقبل.. اعرف ساعة الاستجابة في يوم الجمعة    جيش الاحتلال الإسرائيلي يؤكد فشله في اعتراض صاروخ اليمن وسقوطه بمحيط مطار تل أبيب    شاهد عيان على جسارة شعب يصون مقدراته بالسلاح والتنمية.. قناة السويس فى حماية المصريين    مد فعاليات مبادرة كلنا واحد لمدة شهر اعتبارا 1 مايو    سعر الدولار الأمريكي أمام الجنيه المصري الأحد 4-5- 2025    اللهم اجعله اختطافًا (خالدًا) وخطفة (سعد) على النقابة (2-3)    الكوابيس القديمة تعود بثياب جديدة! كيف صاغ ترامب ولايته الثانية على أنقاض الديمقراطية الأمريكية    هجوم كشمير أشعل الوضع الهند وباكستان الدولتان النوويتان صراع يتجه نحو نقطة الغليان    الوجهان اللذان يقفان وراء النظام العالمى المتغير هل ترامب هو جورباتشوف الجديد!    رئيس وزراء أستراليا المنتخب: الشعب صوت لصالح الوحدة بدلا من الانقسام    واصفًا الإمارات ب"الدويلة" الراعية للفوضى والمرتزقة"…التلفزيون الجزائري : "عيال زايد" أدوات رخيصة بيد الصهيونية العالمية يسوّقون الخراب    بغير أن تُسيل دمًا    درس هوليوودي في الإدارة الكروية    تمثال ل«صلاح» في ليفربول!!    وجه رسالة قوية لنتنياهو.. القسام تنشر فيديو لأسير إسرائيلي يكشف تعرضه للقصف مرتين    رابطة الأندية تعلن عقوبات الجولة الثالثة من مرحلة حسم الدوري    عاجل.. الزمالك يرفض عقوبات رابطة الأندية    لجنة حكماء لإنقاذ مهنة الحكيم    من لايك على «فيسبوك» ل«قرار مصيرى».. ال SNA بصمة رقمية تنتهك خصوصيتنا «المكشوفة»    إحالة الفنانة رندا البحيري للمحاكمة بتهمة السب والتشهير ب طليقها    بسبب وجبة «لبن رايب».. إصابة جدة وأحفادها ال 3 بحالة تسمم في الأقصر    والدتها سلمته للشرطة.. ضبط مُسن تحرش بفتاة 9 سنوات من ذوي الهمم داخل قطار «أشمون - رمسيس»    روز اليوسف تنشر فصولًا من «دعاة عصر مبارك» ل«وائل لطفى» يوسف البدرى وزير الحسبة ! "الحلقة 3"    بعد ختام الدورة الحادية عشرة: مهرجان الإسكندرية للفيلم القصير.. وشعار «النضال من أجل الاستمرار»    سرقوا رائحة النعناع الطازج    أهرامات العالم!    عبدالناصر حين يصبح «تريند»!    في ظل فضائح وكوارث حكومة الانقلاب .. مجند يحاول الانتحار فى معبد فيله احتجاجا على طقوس عبادة الشمس    الرئيس السيسى ينتصر لعمال مصر    أول مايو يخلد ذكرى «ضحايا ساحة هيماركيت» عيد العمال احتفاء عالمى بنضال الشقيانين    أثارت الجدل.. فتاة ترفع الأذان من مسجد قلعة صلاح الدين    كلام ترامب    وزير الصحة يوقع مذكرة تفاهم مع نظريه السعودي للتعاون في عدد من المجالات الصحية الهامة لمواطني البلدين    تصاعد جديد ضد قانون المسئولية الطبية ..صيدليات الجيزة تطالب بعدم مساءلة الصيدلي في حالة صرف دواء بديل    الأهلي سيتعاقد مع جوميز ويعلن في هذا التوقيت.. نجم الزمالك السابق يكشف    إنتر ميلان يواصل مطاردة نابولي بالفوز على فيرونا بالكالتشيو    كامل الوزير: هجمة من المصانع الصينية والتركية على مصر.. وإنشاء مدينتين للنسيج في الفيوم والمنيا    حقيقة خروج المتهم في قضية ياسين من السجن بسبب حالته الصحية    الفريق كامل الوزير: فروع بلبن مفتوحة وشغالة بكل الدول العربية إحنا في مصر هنقفلها    كامل الوزير: البنية التحتية شرايين حياة الدولة.. والناس فهمت أهمية استثمار 2 تريليون جنيه    50 موسيقيًا يجتمعون في احتفالية اليوم العالمي للجاز على مسرح تياترو    كامل الوزير: 80% من مشروعات البنية التحتية انتهت.. والعالم كله ينظر لنا الآن    حزب الله يدين الاعتداء الإسرائيلي على سوريا    الشرطة الألمانية تلاحق مشاركي حفل زفاف رقصوا على الطريق السريع بتهمة تعطيل السير    الأوقاف تحذر من وهم أمان السجائر الإلكترونية: سُمّ مغلف بنكهة مانجا    " قلب سليم " ..شعر / منصور عياد    «إدمان السوشيال ميديا .. آفة العصر».. الأوقاف تصدر العدد السابع من مجلة وقاية    مصرع شخص وإصابة 6 في انقلاب سيارة على الطريق الصحراوي بأسوان    تمهيدا للرحيل.. نجم الأهلي يفاجئ الإدارة برسالة حاسمة    فحص 700 حالة ضمن قافلتين طبيتين بمركزي الدلنجات وأبو المطامير في البحيرة    الصحة: العقبة الأكبر لمنظومة التبرع بالأعضاء بعد الوفاة ضعف الوعي ونقص عدد المتبرعين    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



خبراء: عملية التجسس Turla متصلة بجزء من البرمجية الخبيثة Agent.BTZ
نشر خبراء G نشر في الجريدة يوم 20 - 03 - 2014

Data وBAE Systems مؤخرا معلومات حول عملية التجسس المتواصلة يشار إليها باسم Turla (وباسمي Snake أو Uroburos).
ووجد فريق البحث والتحليل بكاسبرسكي لاب صلة غير متوقعة بين Turla وجزء من البرمجية الخبيثة المعروفة باسم Agent.BTZ.
في عام 2008 قام Agent.BTZ بإصابة الشبكات المحلية في القيادة المركزية للولايات المتحدة في الشرق الأوسط وقد اعتبر هذا الاختراق في ذلك الوقت "الاختراق الأسوأ للحواسيب العسكرية الأمريكية في التاريخ". وقد استغرقت عملية إزالة Agent.BTZ بالكامل من الشبكات العسكرية 14 أشهر أجراها خبراء البنتاغون، وكان ذلك دافعا لإنشاء قيادة الكترونية أمريكية. ويتمتع البرنامج الدودي، الذي يعتقد أنه أنشئ في عام 2007، بالقدرة على مسح الحواسيب بحثا عن المعلومات الهامة وإرسال البيانات إلى خادم الأوامر والمراقبة بعيد.
السبب الذي دفع إلى ابتكاره
اكتشفت كاسبرسكي لاب لأول مرة حملة Turla للتجسس الالكتروني في مارس 2013، في الوقت الذي كان خبراء الشركة يقومون بتحري حادث يتعلق ببرمجية الجذور الخفية عالية التعقيد. وكان هذا البرنامج يعرف بSun rootkit انطلاقا من اسم الملف "sunstore.dmp" والمتاح أيضا باسمين آخرين "\\.\Sundrive1" و"\\.\Sundrive2". في الواقع كل من Sun rootkit وSnake اسمان لذات البرمجية.
خلال ذلك البحث وجد خبراء كاسبرسكي لاب بعض الوصلات المثيرة بين Turla، البرنامج المعقد والمتعدد الوظائف، وAgent.BTZ. ويبدو أن البرنامج الدودي Agent.BTZ كان الدافع وراء إنشاء نطاق واسع من الأدوات التجسسية الأكثر تعقيدا حتى الآن بما فيها Red October، Turla وFlame/Gauss:
● مطورو Red October كانوا يعلمون بوظيفة Agent.BTZ كون وحدة USB Stealer (انشئت في 2010-2011( تبحث عن حاويات البيانات الخاصة بالبرنامج الدودي ("mssysmgr.ocx"، "thumb.dd") التي تحمل بيانات حول الانظمة المصابة ونشاطات الدخول إلى النظام، ثم تسرقها من مشغلات وسائط التخزين النقالة المتصلة.
● ويستخدم برنامج Turla أسماء الملفات تسجيل الدخول نفسها ("mswmpdat.tlb"، "winview.ocx"، "wmcache.nld") خلال بقائها في النظام المصاب وذات المفتاح XOR لتشفير ملفات الدخول مثل Agent.BTZ.
● ويستخدم Flame/Gauss قواعد تسمية مماثلة على غرار ملفات "*.ocx " و" thumb*.db". كما أنها تستخدم مشغل USB كحاوية للبيانات المسروقة.
تساؤل حول الصفات
أخذا بعين الاعتبار كل هذه الحقائق، من الواضح أن مطوري حملات التجسس الالكتروني قاموا بدراسة Agent.BTZ بالتفصيل لتفهم كيفية عملها، أسماء الملفات التي تستخدمها واستخدموا هذه المعلومات كنموذج لتطوير البرمجيات الخبيثة والتي لها أهداف مماثلة. ألا يعني ذلك أن هناك صلة مباشرة بين مطوري هذه الأدوات التجسسية؟
وقال ألكسي غوستيف، كبير الخبراء الأمنيين بكاسبرسكي لاب: "ليس بالإمكان الجزم بذلك انطلاقا من الحقائق المذكورة فقط. البيانات المستخدمة من قبل المطورين كانت معروفة في وقت شن حملات Red October وFlame/Gauss. لا شك في أن Agent.BTZ استخدم " thumb.dd" كملف حاوي لجمع المعلومات من الأنظمة المصابة بالإضافة إلى ذلك كان مفتاح XOR المستخدم من قبل مطوري Turla وAgent.BTZ لتشفير ملفات تسجيل الدخول قد نشر أيضا في 2008.
نحن لا نعلم متى استخدم هذا المفتاح لأول مرة في Turla، إلا أننا نجده في النماذج الأخيرة للبرمجيات الخبيثة التي ابتكرت في 2013-2014. وفي الوقت نفسه هناك بعض الأدلة التي تشير إلى أن تطوير Turla بدأ في 2006 قبل أن يعرف أحد بAgent.BTZ وهذا يُبقي السؤال مفتوحا".
Agent.BTZ
هناك نماذج معدلة كثيرة من البرنامج الدودي Agent.BTZ. اليوم بإمكان منتجات كاسبرسكي لاب أن تكتشف هذا البرنامج بجميع أشكاله في إطار الاسم الأساسي Worm.Win32.Orbina. وقد انتشر هذا البرنامج في مختلف أنحاء العالم بفضل أسلوب التناسخ (عبر وسائط التخزين النقالة).
من خلال البيانات المتوفرة لدى كاسبرسكي لاب يمكننا رؤية أن Agent.BTZ اكتشف في عام 2013 في 13800 نظام في 100 بلد. وهذا يشير إلى أن هناك عشرات الآلاف من وسائط التخزين النقالة في العالم المصابة ببرنامج Agent.BTZ وتحتوي على ملف "thumb.dd " الذي يشتمل على معلومات حول الأنظمة المصابة.

انقر هنا لقراءة الخبر من مصدره.