أسعار الخضروات والأسماك والدواجن اليوم 19 يونيو بسوق العبور للجملة    60 دقيقة متوسط تأخيرات القطارات بمحافظات الصعيد.. الخميس 19 يونيو 2025    بوتين يٌبدي استعداده للقاء زيلينسكي لكنه يشكك في شرعيته    الحماية المدنية تسيطر على حريق اندلع في مصنع زيوت بأسيوط    يوفنتوس يكتسح العين بخماسية نظيفة في افتتاح مشواره بكأس العالم للأندية    أسعار الذهب اليوم في السودان وعيار 21 الآن ببداية تعاملات الخميس 19 يونيو 2025    نتيجة الشهادة الإعدادية محافظة الشرقية 2025 (فور ظهورها)    فصل التيار الكهربائي وإزالة السقف الصاج للسيطرة على حريق مستودع الزيوت في أسيوط (فيديو وصور)    طرح البرومو التشويقي الأول لمسلسل «220 يوم» (فيديو)    السيطرة على حريق شب داخل شقة سكنية بالسيدة زينب    سالزبورج النمساوي يفوز على باتشوكا المكسيكي في كأس العالم للأندية    تزمنًا مع ضربات إيران وإسرائيل.. العراق ترفع جاهزية قواتها تحسبًا لأي طارئ    لم تنجح إلا طالبة واحدة.. رسوب جماعي لطلاب الشهادة الإعدادية في مدرسة ببني سويف    زيزو يوضح حقيقة الخلاف حول ركلة جزاء تريزيجيه    واشنطن بوست: مديرة الاستخبارات الأمريكية ووزير الدفاع ليس لهما دور رئيسي في مناقشات ضرب إيران    أحمد الجنايني ينفي شائعة زواجه من آيتن عامر ويتوعد مروجيها    ملف يلا كورة.. ثنائي يغيب عن الأهلي.. مدير رياضي في الزمالك.. وتحقيق مع حمدي    أنباء عن سماع دوى انفجار فى مدينة كاشان وسط إيران    إسرائيل: منظومات الدفاع الجوي الأمريكية اعترضت موجة الصواريخ الإيرانية الأخيرة    الدولار ب50.50 جنيه.. سعر العملات الأجنبية اليوم الخميس 19-6-2025    بدء صرف مرتبات يونيو 2025.. والحد الأدنى للأجور يرتفع إلى 7 آلاف جنيه الشهر المقبل    بعد فشل القبة الإسرائيلية.. الدفاعات الأمريكية تعترض الموجة الإيرانية على إسرائيل    ياسر إبراهيم يتحدث عن مباراة الأهلي وبالميراس في كأس العالم للأندية    ‌جيش الاحتلال: ننفذ حاليا سلسلة من الضربات فى طهران ومناطق أخرى بإيران    محمد رمضان وهيفاء وهبي في حفل مشترك ببيروت.. وديو غنائي مرتقب مع عايض    فواكه تساعد على طرد السموم من الكبد والكلى    بين الاعتراض على الفتوى وحرية الرأي!    تعرف على موعد حفل محمد رمضان وهيفاء وهبي في لبنان    تموين الإسماعيلية تكثف حملات المرور على المطاعم (صور)    خالد الغندور يكشف صدمة للأهلي بسبب مدة غياب طاهر    بنهاشم: تسديد 12 كرة على المرمى يؤكد اختراق الوداد دفاعات مانشستر سيتي    من قال (لا) في وجه من قالوا (نعم)؟!    إعلام لبناني: غارة إسرائيلية على جنوبي لبنان أسفرت عن اغتيال عنصر من حزب الله وإصابة آخر    دور الإعلام في نشر ودعم الثقافة في لقاء حواري بالفيوم.. صور    سماوي: مهرجان جرش في موعده وشعلته لن تنطفئ    هل الحسد يمنع الرزق؟.. الشيخ خالد الجندي يوضح    تصعيد غير مسبوق: حاملة الطائرات الأمريكية الثالثة تتمركز قرب إيران    5 جرامات تكفي.. تحذير رسمي من «الملح»!    «الزاوية الخضرا».. ديكور «الواحة الداخلية» في منزلك    الصحة تحذر من 5 شائعات عن استخدام اللولب النحاسي كوسيلة لتنظيم الأسرة    المغرب 7,57م.. أوقات الصلاة في المنيا والمحافظات الخميس 19 يونيو    ريبيرو: بالميراس يمتلك لاعبين مميزين ولديه دفاع قوى.. وزيزو لاعب جيد    17 صورة من حفل زفاف ماهيتاب ابنة ماجد المصري    أحدث جلسة تصوير ل بوسي تخطف بها الأنظار.. والجمهور يعلق    حفار بترول قديم ومتوقف عن العمل يسقط فى رأس غارب دون إصابات    ما حكم سماع القرآن أثناء النوم؟.. أمين الفتوى يجيب (فيديو)    السفير السعودي بالقاهرة يلتقي نظيره الإيراني لبحث التطورات الإقليمية    «مصر للطيران للأسواق الحرة» توقع بروتوكول تعاون مع «النيل للطيران»    كوريا الشمالية عن الهجمات الإسرائيلية على إيران: تصرف غير قانوني.. وجريمة ضد الإنسانية    سعر طن الحديد والأسمنت بسوق مواد البناء اليوم الخميس 19 يونيو 2025    بالأسماء.. إصابة 11 شخصًا بحادث تصادم في البحيرة    ملفات تقنين الأراضي| تفاصيل اجتماع رؤساء الوحدات المحلية بقنا    احتفالية لرسم البهجة على وجوه ذوي الهمم بالفيوم.. صور    حسام صلاح عميد طب القاهرة ل«الشروق»: انتهاء الدراسات الفنية والمالية لمشروع قصر العينى الجديد    هل يجوز للزوجة زيارة والدتها المريضة رغم رفض الزوج؟.. أمين الفتوى يجيب    خالد الجندي: «داري على شمعتك تِقيد» متفق مع صحيح العقيدة فالحسد مدمر (فيديو)    جامعة الأزهر ضمن أفضل 300 جامعة بالعالم وفقًا لتصنيف US NEWS الأمريكي    الشيخ خالد الجندي: استحضار الله في كل الأمور عبادة تحقق الرضا    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



خبراء: عملية التجسس Turla متصلة بجزء من البرمجية الخبيثة Agent.BTZ
نشر خبراء G نشر في الجريدة يوم 20 - 03 - 2014

Data وBAE Systems مؤخرا معلومات حول عملية التجسس المتواصلة يشار إليها باسم Turla (وباسمي Snake أو Uroburos).
ووجد فريق البحث والتحليل بكاسبرسكي لاب صلة غير متوقعة بين Turla وجزء من البرمجية الخبيثة المعروفة باسم Agent.BTZ.
في عام 2008 قام Agent.BTZ بإصابة الشبكات المحلية في القيادة المركزية للولايات المتحدة في الشرق الأوسط وقد اعتبر هذا الاختراق في ذلك الوقت "الاختراق الأسوأ للحواسيب العسكرية الأمريكية في التاريخ". وقد استغرقت عملية إزالة Agent.BTZ بالكامل من الشبكات العسكرية 14 أشهر أجراها خبراء البنتاغون، وكان ذلك دافعا لإنشاء قيادة الكترونية أمريكية. ويتمتع البرنامج الدودي، الذي يعتقد أنه أنشئ في عام 2007، بالقدرة على مسح الحواسيب بحثا عن المعلومات الهامة وإرسال البيانات إلى خادم الأوامر والمراقبة بعيد.
السبب الذي دفع إلى ابتكاره
اكتشفت كاسبرسكي لاب لأول مرة حملة Turla للتجسس الالكتروني في مارس 2013، في الوقت الذي كان خبراء الشركة يقومون بتحري حادث يتعلق ببرمجية الجذور الخفية عالية التعقيد. وكان هذا البرنامج يعرف بSun rootkit انطلاقا من اسم الملف "sunstore.dmp" والمتاح أيضا باسمين آخرين "\\.\Sundrive1" و"\\.\Sundrive2". في الواقع كل من Sun rootkit وSnake اسمان لذات البرمجية.
خلال ذلك البحث وجد خبراء كاسبرسكي لاب بعض الوصلات المثيرة بين Turla، البرنامج المعقد والمتعدد الوظائف، وAgent.BTZ. ويبدو أن البرنامج الدودي Agent.BTZ كان الدافع وراء إنشاء نطاق واسع من الأدوات التجسسية الأكثر تعقيدا حتى الآن بما فيها Red October، Turla وFlame/Gauss:
● مطورو Red October كانوا يعلمون بوظيفة Agent.BTZ كون وحدة USB Stealer (انشئت في 2010-2011( تبحث عن حاويات البيانات الخاصة بالبرنامج الدودي ("mssysmgr.ocx"، "thumb.dd") التي تحمل بيانات حول الانظمة المصابة ونشاطات الدخول إلى النظام، ثم تسرقها من مشغلات وسائط التخزين النقالة المتصلة.
● ويستخدم برنامج Turla أسماء الملفات تسجيل الدخول نفسها ("mswmpdat.tlb"، "winview.ocx"، "wmcache.nld") خلال بقائها في النظام المصاب وذات المفتاح XOR لتشفير ملفات الدخول مثل Agent.BTZ.
● ويستخدم Flame/Gauss قواعد تسمية مماثلة على غرار ملفات "*.ocx " و" thumb*.db". كما أنها تستخدم مشغل USB كحاوية للبيانات المسروقة.
تساؤل حول الصفات
أخذا بعين الاعتبار كل هذه الحقائق، من الواضح أن مطوري حملات التجسس الالكتروني قاموا بدراسة Agent.BTZ بالتفصيل لتفهم كيفية عملها، أسماء الملفات التي تستخدمها واستخدموا هذه المعلومات كنموذج لتطوير البرمجيات الخبيثة والتي لها أهداف مماثلة. ألا يعني ذلك أن هناك صلة مباشرة بين مطوري هذه الأدوات التجسسية؟
وقال ألكسي غوستيف، كبير الخبراء الأمنيين بكاسبرسكي لاب: "ليس بالإمكان الجزم بذلك انطلاقا من الحقائق المذكورة فقط. البيانات المستخدمة من قبل المطورين كانت معروفة في وقت شن حملات Red October وFlame/Gauss. لا شك في أن Agent.BTZ استخدم " thumb.dd" كملف حاوي لجمع المعلومات من الأنظمة المصابة بالإضافة إلى ذلك كان مفتاح XOR المستخدم من قبل مطوري Turla وAgent.BTZ لتشفير ملفات تسجيل الدخول قد نشر أيضا في 2008.
نحن لا نعلم متى استخدم هذا المفتاح لأول مرة في Turla، إلا أننا نجده في النماذج الأخيرة للبرمجيات الخبيثة التي ابتكرت في 2013-2014. وفي الوقت نفسه هناك بعض الأدلة التي تشير إلى أن تطوير Turla بدأ في 2006 قبل أن يعرف أحد بAgent.BTZ وهذا يُبقي السؤال مفتوحا".
Agent.BTZ
هناك نماذج معدلة كثيرة من البرنامج الدودي Agent.BTZ. اليوم بإمكان منتجات كاسبرسكي لاب أن تكتشف هذا البرنامج بجميع أشكاله في إطار الاسم الأساسي Worm.Win32.Orbina. وقد انتشر هذا البرنامج في مختلف أنحاء العالم بفضل أسلوب التناسخ (عبر وسائط التخزين النقالة).
من خلال البيانات المتوفرة لدى كاسبرسكي لاب يمكننا رؤية أن Agent.BTZ اكتشف في عام 2013 في 13800 نظام في 100 بلد. وهذا يشير إلى أن هناك عشرات الآلاف من وسائط التخزين النقالة في العالم المصابة ببرنامج Agent.BTZ وتحتوي على ملف "thumb.dd " الذي يشتمل على معلومات حول الأنظمة المصابة.

انقر هنا لقراءة الخبر من مصدره.