برواتب مجزية وتأمينات.. «العمل» تعلن 520 وظيفة متنوعة للشباب    السيسي يعد بإنجازات جديدة (مدينة إعلام).. ومراقبون: قرار يستدعي الحجر على إهدار الذوق العام    إصابة 6 فلسطينيين جراء اعتداء مستوطنين عليهم فى الضفة    بعد استقالتها من الكونجرس، مارجوري جرين تعتزم الترشح للرئاسة الأمريكية نكاية في ترامب    حسين ياسر المحمدي: تكريم محمد صبري أقل ما نقدمه.. ووجود أبنائه في الزمالك أمر طبيعي    ثلاث جولات من الرعب.. مشاجرة تنتهي بمقتل "أبوستة" بطلق ناري في شبرا الخيمة    إصابة 4 أشخاص بينهم ضابطان من الحماية المدنية في حريق عقار بالمنصورة    كمال أبو رية: «كارثة طبيعية» اكتشاف جديد لي ك«كوميديان»    تامر عبد المنعم يفاجئ رمضان 2025 بمسلسل جديد يجمعه مع فيفي عبده ويعود للواجهة بثنائية التأليف والبطولة    نقيب الموسيقيين يفوض «طارق مرتضى» متحدثاً إعلامياً نيابة ًعنه    تخصيص قيمة جوائز المالية لفيلم ضايل عنا عرض لإعادة بناء مدرسة سيرك غزة الحر    وكيل صحة دمياط: إحالة مسئول غرف الملفات والمتغيبين للتحقيق    الصحة: علاج مريضة ب"15 مايو التخصصي" تعاني من متلازمة نادرة تصيب شخصًا واحدًا من بين كل 36 ألفًا    مفاجأة ينتظرها صلاح، أول المرشحين لخلافة سلوت في ليفربول بعد الخسارة السادسة بالبريميرليج    طقس اليوم الاثنين.. تحذيرات من الأمطار والشبورة المائية مع استمرار ارتفاع الحرارة    مصرع شخص إثر انقلاب سيارة نصف نقل في مياه أحد المصارف بالبحيرة    بيان مبادرة "أطفالنا خط أحمر" بشأن واقعة الاعتداء على تلاميذ مدرسة "سيدز الدولية"    صوتك أمانة.. انزل وشارك فى انتخابات مجلس النواب تحت إشراف قضائى كامل    الداخلية تكشف ملابسات اعتداء قائد سيارة نقل ذكي على سيدة بالقليوبية    مانيج إنجن: الذكاء الاصطناعي يعيد تشكيل أمن المعلومات في مصر    ترامب: اقتراحي لإنهاء الحرب في أوكرانيا ليس عرضًا نهائيًا    ماكرون يرفض مقترح عودة صيغة "مجموعة الثماني" بمشاركة روسيا    بلغاريا تؤيد خطة ترامب للتسوية في أوكرانيا    : ميريام "2"    عمرو أديب: عايزين نتعلم من درس عمدة نيويورك زهران ممداني    صفحة الداخلية منصة عالمية.. كيف حققت ثاني أعلى أداء حكومي بعد البيت الأبيض؟    ب16 سفينة وتصدير منتجات ل11 دولة أوروبية.. ميناء دمياط يعزز مكانته اللوجيستية العالمية    حمزة عبد الكريم: سعيد بالمشاركة مع الأهلي في بطولة إفريقيا    عاجل- الداخلية المصرية تحصد المركز الثاني عالميًا في أداء الحسابات الحكومية على فيسبوك بأكثر من 24 مليون تفاعل    الوكيل الدائم للتضامن: أسعار حج الجمعيات هذا العام أقل 12 ألف جنيه.. وأكثر من 36 ألف طلب للتقديم    جامعة القناة تتألق في بارالمبياد الجامعات المصرية وتحصد 9 ميداليات متنوعة    فليك: فخور بأداء برشلونة أمام أتلتيك بيلباو وسيطرتنا كانت كاملة    نابولي يتربع على صدارة الدوري الإيطالي بثلاثية في شباك أتالانتا    السعودية.. أمير الشرقية يدشن عددا من مشاريع الطرق الحيوية بالمنطقة    روسيا: لم نتلقَّ أى رد من واشنطن حول تصريحات ترامب عن التجارب النووية    د.حماد عبدالله يكتب: مشكلة "كتاب الرأى" !!    دولة التلاوة.. هنا في مصر يُقرأ القرآن الكريم    محافظة الجيزة تكشف تفاصيل إحلال المركبة الجديدة بديل التوك توك.. فيديو    أهم الأخبار العالمية والعربية حتى منتصف الليل.. الإخوان الإرهابية تواجه تهديدا وجوديا فى قارة أوروبا.. ترامب: خطة السلام بشأن أوكرانيا ليست نهائية.. تعليق الملاحة فى مطار آيندهوفن الهولندى بعد رصد مسيّرات    محافظ كفر الشيخ يعلن الاستعدادات النهائية لانتخابات النواب 2025    الري تفتح مفيض توشكى لاستيعاب تدفقات مفاجئة من السد الإثيوبي    المتحدث باسم الصحة: الإنفلونزا A الأكثر انتشارا.. وشدة الأعراض بسبب غياب المناعة منذ كورونا    طريقة مبتكرة وشهية لإعداد البطاطا بالحليب والقرفة لتعزيز صحة الجسم    "الوطنية للانتخابات" تدعو المصريين بالداخل للمشاركة في المرحلة الثانية لانتخابات مجلس النواب    جدول زمني للانتهاء من مشروعات الصرف الصحي المتعثرة بالقليوبية    أهالى القفايطة بنصر النوبة يشكرون الرئيس السيسى بعد تحقيق حلم تركيب الكهرباء والمياه    الزراعة: زيادة إنتاج مصر من اللحوم الحمراء ل600 ألف طن بنهاية 2025    مفتي الجمهورية: خدمة الحاج عبادة وتنافسا في الخير    الرعاية الصحية: أعظم الطرق لحماية الصحة ليس الدواء لكن طريقة استخدامه    معهد بحوث الإلكترونيات يستضيف ورشة دولية حول الهوائيات والميكروويف نحو مستقبل مستدام    بث مباشر الآن.. مباراة ليفربول ونوتنغهام فورست في الجولة 12 من الدوري الإنجليزي 2026    شاهد الآن.. بث مباشر لمباراة الهلال والفتح في الدوري السعودي روشن 2025-2026    دولة التلاوة.. أصوات من الجنة    سفير مصر في فنلندا: التصويت يتم باليوم الثاني في انتخابات النواب دون وجود معوقات    تعرف على مواقيت الصلاة اليوم السبت 22-11-2025 في محافظة الأقصر    الآن.. سعر الجنيه الذهب اليوم السبت 22-11-2025 في محافظة قنا    خلاف حاد على الهواء بين ضيوف "خط أحمر" بسبب مشاركة المرأة في مصروف البيت    عضو "الشؤون الإسلامية" يوضح حكم التعامل مع الدجالين والمشعوذين    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"كاسبرسكي لاب" تتوصل إلى حل للغز حملة Turla للتجسس الإلكتروني
دعاء جابر نشر في الوادي يوم 11 - 08 - 2014

تعتبر عملية " Epic" بمثابة المرحلة الأولى لسلسلة إصابات متعددة المراحل من حملة "Turla" للتجسس الإلكتروني وتعرف أيضاً باسم Snake أو Uroburos، و هي واحدة من أكثر حملات التجسس الإلكتروني المتطورة.
عندما نشر البحث الأول الذي أجري حول حملات التجسس الإلكتروني Turla أو Snake أو Uroburos، لم يقدم إجابة وافية على أهم سؤال حول كيفية تعرض الضحايا للإصابة، واليوم، أظهرت نتائج أحدث بحث أجرته كاسبرسكي لاب على هذه العملية بأنEpic هي المرحلة التمهيدية لآلية تعرض ضحية Turla للاصابة.
واستخدم مشروع Epic منذ عام 2012، وقد كان أعلى مستوى نشاط له خلال شهري يناير وفبراير من العام 2014. وفي الآونة الأخيرة، رصدت كاسبرسكي لاب هذا الهجوم على أحد مستخدميها بتاريخ 5 أغسطس من العام 2014.
وتنتمي أهدافEpic إلى الفئات التالية: الشركات الحكومية (وزارة الداخلية ووزارة التجارة والاقتصاد ووزارة الخارجية /الشؤون الخارجية ووكالات الاستخبارات)، والسفارات، والمؤسسات العسكرية، ومؤسسات البحوث، والمؤسسات التعليمية، وشركات الأدوية.
ويبدو كذلك أن معظم الضحايا يتركزون في منطقة الشرق الأوسط وأوروبا، إلا أن الباحثين لاحظوا وجود عدد من الضحايا في مناطق أخرى أيضاً منها الولايات المتحدة. وبالإجمال، تمكن خبراء كاسبرسكي لاب من إحصاء بضع مئات من ضحايا ال IPs الذين يتوزعون في أكثر من 45 دولة تأتي فرنسا في مقدمتها.
وتوصل باحثو كاسبرسكي لاب إلى أن مهاجمي Epic Turla يلجؤون لاستخدام أساليب مثل "هجوم دون انتظار - zero-day exploits " والهندسة المجتمعية وتقنيات الثغرات الأمنية - watering hole (وهي مواقع انترنت لها أهمية كبيرة لدى الضحايا والتي تكون قد اخترقت من قبل المهاجمين وتم استخدامها لدس رموز تشفير خبيثة) لاستهداف الضحية. على سبيل المثال، لاحظت كاسبرسكي لاب أن هناك أكثر من 100 موقع على شبكة الإنترنت تعاني من ثغرات أمنية. إن اختيار المواقع الإلكترونية يعكس اهتمامات محددة لدى المهاجمين. ففي إسبانيا مثلاً، لوحظ أن الكثير من المواقع الإلكترونية المصابة تعود إلى الحكومات المحلية.
وعندما يقوم أي مستخدم بعيد عن الشبهة بفتح ملف PDF خبيث مصمم بحرفية عالية باستخدام نظام لا يحظى بالحماية الكافية، فيتعرض الجهاز للإصابة تلقائياً، مما يتيح للمهاجم فرصة التحكم الفوري بالنظام المستهدف.
وفي حال تعرض المستخدم للإصابة، تواصل ملفات التجسس فيEpic طريقها لكي تتصل فوراً بخادم الأوامر والتحكم (C&C) لغرض إرسال حزمة من المعلومات عن نظام الضحية. عندما يتعرض النظام للاختراق، يتلقى المهاجمون لمحة موجزة عن معلومات الضحية، وبناءً على ذلك، يقومون بإرسال مجموعة من الملفات المعرفة مسبقاً والتي تحتوي على سلسلة من الأوامر ليصار إلى تنفيذها. بالإضافة لذلك، يقوم المهاجمون بتحميل أدوات مخصصة للتحكم بالحركات الانتقالية الجانبية. وهذا يشمل برنامج اختراقkeylogger محدد وملفات الأرشفة RAR وبرامج خدمية رئيسية أخرى مثل أداة DNS Query من Microsoft.
وأثناء التحليل، راقب باحثو كاسبرسكي لاب المهاجمين وهم يستخدمون البرنامج الخبيث Epic لنشر ملفات تجسس أكثر تعقيداً تعرف باسم "نظام Cobra/Carbon" أو تعرف أيضاً باسم "Pfinet" عن طريق بعض من برامج مكافحة الفيروسات. وبعد فترة وجيزة، ذهب المهاجمون إلى أبعد من ذلك واستخدموا مثبت Epic لتحديث ملف تعريف Carbon بحيث يتوافق مع مجموعة مختلفة من خوادم الأوامر والتحكم (C&C). ويشير الفهم الفريد لكيفية تشغيل ملفي التجسس هذين إلى وجود رابط بينهما وكذلك بوجود رابط بين المهاجمين أنفسهم.
وأوضح كوستين ريو، مدير فريق الأبحاث والتحليل العالمي في كاسبرسكي لاب قائلاً: "إن تحديثات ملف تعريف البرنامج الخبيث المعروف باسم نظام Carbon هو أمر مثير للاهتمام لأنه مشروع آخر يتعلق بعامل التهديد Turla. وهذا يدل على أننا نواجه إصابات متعددة المستويات بدأت بحملة Epic Turla وسرعان ما تفشت وانتشرت لتوقع عدداً أكبر من الأفراد المرموقين ضحية لها. وفي حال كانت الضحية تحظى بمكانة مرموقة، يتم تخصيص نظام Turla Carbon المحدث بالكامل استعداداً لمهاجمتها."
وتتكون الصورة الكاملة لحملة Turla من:
. Epic Turla / Tavdig: المرحلة المبكرة من الإصابة
. نظام Cobra Carbon أو Pfinet (وغيره): وسائط ترقية وإضافات مثبتة.
. Snake / Uroburos : نظام برمجي خبيث عالي المستوى يحتوي على تتضمن برامج خبيثة محملة بفيروسات خفية وأنظمة ملفات افتراضية.
ومن الواضح أن المهاجمين الذين يعملون وراء كواليس عملية Turla ليسوا من الناطقين باللغة الإنجليزية الأصليين. وهناك مؤشرات تدل على أصول هؤلاء المهاجمين. مثال ذلك أن البعض من ملفات التجسس المجمعة في الأنظمة هي باللغة الروسية. وفضلاً عن ذلك، لوحظ أن إحدى ملفات التجسس المنبثقة عن عمليةEpic كانت تحمل اسماً حركياً هو Zagruzchik.dll، ومعناه باللغة الروسية: "محمل الإقلاع". إن لوحة التحكم بعملية Epic مزودة بخاصية ضبط اللغة بما يتماشى مع نظام التشفير codepage 1251المستخدم لاتاحة استخدام الأحرف السيريالية.
ومن المحتمل أن يكون هناك روابط بين حملات مختلفة للتجسس الإلكتروني. على سبيل المثال، في شهر فبراير من عام 2014 لاحظ خبراء كاسبرسكي لاب أن عامل التهديد المعروف باسم Miniduke كان يستخدم ال webshell لإدارة الخوادم الإلكترونية المخترقة تماماً كما فعل فريق Epic .

انقر هنا لقراءة الخبر من مصدره.