اليوم .. الكنائس تختتم صوم السيدة العذراء باحتفالات روحية وشعبية واسعة    «العربية للعلوم » تفتح أبوابها للطلاب بمعرض أخبار اليوم للتعليم العالي    «تربية حلوان» تطرح برنامج معلم اللغة الإنجليزية للمدارس الدولية واللغات    تعرف على سعر الذهب اليوم الخميس.. عيار 21 يسجل 4555 جنيها    جامعة القاهرة تطلق استراتيجة للذكاء الاصطناعي بمؤتمر CU-AI Nexus 2025    هل يتم دفع ضريبة عند إعادة بيع الذهب؟.. توضيح من الشعبة    رينو أوسترال... تكنولوجيا متطورة وفرصة تمويل استثنائية من ألكان للتمويل    إيران: العقوبات الأمريكية على قضاة بالجنائية الدولية تواطؤ في إبادة وقتل الفلسطينيين    كامل الوزير يزور السعودية لبحث عدد من الملفات    القدس للدراسات: الحديث عن احتلال غزة جزء من مشروع «إسرائيل الكبرى»    واشنطن تبرم صفقة مع أوغندا لاستقبال اللاجئين    "رياضة الدقهلية" تكرم مركز اللياقة البدنية الفائز بالمركز الثالث على مستوى الجمهورية    مقتل أخطر 6 عناصر إجرامية فى مواجهات أمنية بأسوان    نتيجة تحليل المخدرات للسائق المتهم بالدهس بكورنيش الإسكندرية    شيرى عادل تنضم لأسرة فيلم حين يكتب الحب    رئيس المعاهد الأزهرية يتفقد المشروع الصيفي للقرآن الكريم بأسوان    لا أستطيع أن أسامح من ظلمنى.. فهل هذا حرام؟ شاهد رد أمين الفتوى    نجاح أول عملية استئصال ورم بتقنية الجراحة الواعية بجامعة قناة السويس    مستشفيات جامعة قناة السويس تواصل ريادتها بعملية ناجحة لإصلاح الصمام الميترالي بالمنظار    جيش الاحتلال يعلن إصابة جندي بنيران المقاومة شمال غزة    لبنان.. بدء المرحلة الأولى من تسليم سلاح المخيمات الفلسطينية    أول رد رسمي على أنباء توقف أعمال الحفر في ستاد الأهلي    7 عروض أجنبية في الدورة 32 من مهرجان القاهرة الدولي للمسرح التجريبي    محمد الشناوي غاضب بسبب التصرف الأخير.. مهيب يكشف تفاصيل حديثه مع حارس الأهلي في عزاء والده    تخفيضات تصل إلى 50%.. موعد انطلاق معارض أهلًا مدارس 2025- 2026    لجنة الحريات بنقابة الصحفيين تعلن تضامنها مع الزملاء بصحيفة "فيتو" بشأن بيان وزارة النقل    195 عضوًا بمجلس الشيوخ يمثلون 12 حزبًا.. و3 مستقلين يخوضون الإعادة على 5 مقاعد في مواجهة 7 حزبيين    الاتحاد السكندري ل في الجول: تأجيل مكافأة الفوز على الإسماعيلي لما بعد مباراة البنك الأهلي    القصة الكاملة لتحويل بدرية طلبة للتحقيق: بدأت بتجاوزات وانتهت بمجلس التأديب    أحدث ظهور لنادية الجندي بإطلالة صيفية جريئة على البحر (صور)    لو كنت من مواليد برج العقرب استعد لأهم أيام حظك.. تستمر 3 أسابيع    رغم قرار رحيله.. دوناروما يتدرب مع سان جيرمان    تقرير: رابيو يعرض نفسه على يوفنتوس    جني جودة تحصد 3 ذهبيات ببطولة أفريقيا للأثقال وشمس محمد يفوز في وزن + 86كجم    فانتازي يلا كورة.. انخفاض سعر ثنائي مانشستر سيتي    خالد الجندى ب"لعلهم يفقهون": الإسلام لا يقتصر على الأركان الخمسة فقط    جولة لرئيس شركة الأقصر لمتابعة العمل بمحطة المياه الغربية.. صور    "جهاز الاتصالات" يصدر تقرير نتائج قياسات جودة خدمة شبكات المحمول للربع الثاني    فتح: مخططات نتنياهو للاجتياح الشامل لغزة تهدد بارتكاب مجازر كارثية    جنايات بنها تنظر أولى جلسات محاكمة المتهم بخطف طفلة والتعدى عليها بشبين القناطر    وكيل صحة الإسماعيلية تفاجئ وحدة طب أسرة الشهيد خيرى وتحيل المقصرين للتحقيق    الجامعة المصرية الصينية تنظم أول مؤتمر دولي متخصص في طب الخيول بمصر    هبوط جماعي لمؤشرات البورصة في نهاية تعاملات الخميس    جامعة أسيوط تعلن مواعيد الكشف الطبي للطلاب الجدد    وزير الثقافة يعلن محاور وأهداف المؤتمر الوطني «الإبداع في زمن الذكاء الاصطناعي»    مستخدمًا سلاح أبيض.. زوج ينهي حياة زوجته ويصيب ابنتهما في الدقهلية    «الصحة»: وفاة شخصين وإصابة 18 في حادث تصادم طريق «الإسكندرية - مطروح»    «الأرصاد» تحذر من حالة الطقس يومي السبت والأحد.. هل تعود الموجة الحارة؟    كيفية صلاة التوبة وأفضل الأدعية بعدها    نائب وزير الصحة يبحث مع رئيس الأكاديمية العربية للنقل البحري سبل التعاون    رفضه لجائزة ملتقى الرواية 2003 أظهر انقسامًا حادًا بين المثقفين والكتَّاب |السنوات الأولى فى حياة الأورفيلى المحتج    مديريات التعليم تنظم ندوات توعية لأولياء الأمور والطلاب حول البكالوريا    مدبولي: نتطلع لجذب صناعات السيارات وتوطين تكنولوجيا تحلية مياه البحر    الداخلية: تحرير 126 مخالفة للمحال المخالفة لقرار الغلق لترشيد استهلاك الكهرباء    هل يوجد زكاة على القرض من البنك؟.. أمين الفتوى يجيب    أخبار مصر: اعترافات مثيرة ل"ابنة مبارك المزعومة"، معاقبة بدرية طلبة، ضبط بلوجر شهيرة بحوزتها مخدرات ودولارات، إعدام سفاح الإسماعيلية    توسيع الترسانة النووية.. رهان جديد ل زعيم كوريا الشمالية ردًا على مناورات واشنطن وسيول    وزارة الأوقاف تطلق صفحة "أطفالنا" لبناء وعي راسخ للنشء    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



خبراء: عملية التجسس Turla متصلة بجزء من البرمجية الخبيثة Agent.BTZ
نشر خبراء G نشر في الجريدة يوم 20 - 03 - 2014

Data وBAE Systems مؤخرا معلومات حول عملية التجسس المتواصلة يشار إليها باسم Turla (وباسمي Snake أو Uroburos).
ووجد فريق البحث والتحليل بكاسبرسكي لاب صلة غير متوقعة بين Turla وجزء من البرمجية الخبيثة المعروفة باسم Agent.BTZ.
في عام 2008 قام Agent.BTZ بإصابة الشبكات المحلية في القيادة المركزية للولايات المتحدة في الشرق الأوسط وقد اعتبر هذا الاختراق في ذلك الوقت "الاختراق الأسوأ للحواسيب العسكرية الأمريكية في التاريخ". وقد استغرقت عملية إزالة Agent.BTZ بالكامل من الشبكات العسكرية 14 أشهر أجراها خبراء البنتاغون، وكان ذلك دافعا لإنشاء قيادة الكترونية أمريكية. ويتمتع البرنامج الدودي، الذي يعتقد أنه أنشئ في عام 2007، بالقدرة على مسح الحواسيب بحثا عن المعلومات الهامة وإرسال البيانات إلى خادم الأوامر والمراقبة بعيد.
السبب الذي دفع إلى ابتكاره
اكتشفت كاسبرسكي لاب لأول مرة حملة Turla للتجسس الالكتروني في مارس 2013، في الوقت الذي كان خبراء الشركة يقومون بتحري حادث يتعلق ببرمجية الجذور الخفية عالية التعقيد. وكان هذا البرنامج يعرف بSun rootkit انطلاقا من اسم الملف "sunstore.dmp" والمتاح أيضا باسمين آخرين "\\.\Sundrive1" و"\\.\Sundrive2". في الواقع كل من Sun rootkit وSnake اسمان لذات البرمجية.
خلال ذلك البحث وجد خبراء كاسبرسكي لاب بعض الوصلات المثيرة بين Turla، البرنامج المعقد والمتعدد الوظائف، وAgent.BTZ. ويبدو أن البرنامج الدودي Agent.BTZ كان الدافع وراء إنشاء نطاق واسع من الأدوات التجسسية الأكثر تعقيدا حتى الآن بما فيها Red October، Turla وFlame/Gauss:
● مطورو Red October كانوا يعلمون بوظيفة Agent.BTZ كون وحدة USB Stealer (انشئت في 2010-2011( تبحث عن حاويات البيانات الخاصة بالبرنامج الدودي ("mssysmgr.ocx"، "thumb.dd") التي تحمل بيانات حول الانظمة المصابة ونشاطات الدخول إلى النظام، ثم تسرقها من مشغلات وسائط التخزين النقالة المتصلة.
● ويستخدم برنامج Turla أسماء الملفات تسجيل الدخول نفسها ("mswmpdat.tlb"، "winview.ocx"، "wmcache.nld") خلال بقائها في النظام المصاب وذات المفتاح XOR لتشفير ملفات الدخول مثل Agent.BTZ.
● ويستخدم Flame/Gauss قواعد تسمية مماثلة على غرار ملفات "*.ocx " و" thumb*.db". كما أنها تستخدم مشغل USB كحاوية للبيانات المسروقة.
تساؤل حول الصفات
أخذا بعين الاعتبار كل هذه الحقائق، من الواضح أن مطوري حملات التجسس الالكتروني قاموا بدراسة Agent.BTZ بالتفصيل لتفهم كيفية عملها، أسماء الملفات التي تستخدمها واستخدموا هذه المعلومات كنموذج لتطوير البرمجيات الخبيثة والتي لها أهداف مماثلة. ألا يعني ذلك أن هناك صلة مباشرة بين مطوري هذه الأدوات التجسسية؟
وقال ألكسي غوستيف، كبير الخبراء الأمنيين بكاسبرسكي لاب: "ليس بالإمكان الجزم بذلك انطلاقا من الحقائق المذكورة فقط. البيانات المستخدمة من قبل المطورين كانت معروفة في وقت شن حملات Red October وFlame/Gauss. لا شك في أن Agent.BTZ استخدم " thumb.dd" كملف حاوي لجمع المعلومات من الأنظمة المصابة بالإضافة إلى ذلك كان مفتاح XOR المستخدم من قبل مطوري Turla وAgent.BTZ لتشفير ملفات تسجيل الدخول قد نشر أيضا في 2008.
نحن لا نعلم متى استخدم هذا المفتاح لأول مرة في Turla، إلا أننا نجده في النماذج الأخيرة للبرمجيات الخبيثة التي ابتكرت في 2013-2014. وفي الوقت نفسه هناك بعض الأدلة التي تشير إلى أن تطوير Turla بدأ في 2006 قبل أن يعرف أحد بAgent.BTZ وهذا يُبقي السؤال مفتوحا".
Agent.BTZ
هناك نماذج معدلة كثيرة من البرنامج الدودي Agent.BTZ. اليوم بإمكان منتجات كاسبرسكي لاب أن تكتشف هذا البرنامج بجميع أشكاله في إطار الاسم الأساسي Worm.Win32.Orbina. وقد انتشر هذا البرنامج في مختلف أنحاء العالم بفضل أسلوب التناسخ (عبر وسائط التخزين النقالة).
من خلال البيانات المتوفرة لدى كاسبرسكي لاب يمكننا رؤية أن Agent.BTZ اكتشف في عام 2013 في 13800 نظام في 100 بلد. وهذا يشير إلى أن هناك عشرات الآلاف من وسائط التخزين النقالة في العالم المصابة ببرنامج Agent.BTZ وتحتوي على ملف "thumb.dd " الذي يشتمل على معلومات حول الأنظمة المصابة.

انقر هنا لقراءة الخبر من مصدره.