أول تعليق من التعليم على زيادة مصروفات المدارس الخاصة بنسبة 100 ٪    وصول مدير حملة أحمد طنطاوي إلى المحكمة للمعارضة على حكم حبسه    وزير التعليم العالي يترأس اجتماع مجلس الجامعات الأهلية    أسعار البيض اليوم الاثنين 3-6-2024 في الأسواق    سعر الدولار في البنوك المصرية اليوم الاثنين 3 يونيو 2024    وزير المالية: وثيقة السياسات الضريبية «2024-2030» مازالت تحت الدراسة    وزير الإسكان يوجّه بتسليم الوحدات للمقبولين بإعلانات «الاجتماعي» في الموعد المحدد    «النقل»: 5.150 مليار جنيه صافي أرباح 4 شركات متخصصة في الحاويات    تراجع معدل التصخم في إندونيسيا خلال الشهر الماضي    «القاهرة الإخبارية»: الاحتلال الإسرائيلي يقصف منطقة المغراقة وسط قطاع غزة    المجلس النرويجي للاجئين: بوركينا فاسو الأزمة الأكثر إهمالاً في العالم    مصادر طبية فلسطينية: 21 شهيدا منذ فجر اليوم في غارات إسرائيلية على غزة    إعلام فلسطيني: مدفعية الاحتلال تستهدف منطقة المغراقة وسط قطاع غزة    موجة حر قاسية تجتاح الهند.. عشرات القتلى و25 ألف مهددون بالموت جراء ضربة شمس    محمد الشناوي يحرس عرين منتخب مصر أمام بوركينا فاسو في تصفيات المونديال    محمد الشناوي يرفض عرض القادسية السعودي    رسومات الأحياء المقررة على الصف الثالث الثانوي.. «راجع قبل الامتحان»    «الأرصاد»: محافظات الصعيد الأكثر تأثرا بالموجة شديدة الحرارة اليوم    رئيس البعثة الطبية للحج: جاهزون لاستقبال الحجاج.. وفيديوهات إرشادية للتوعية    كشف غموض العثور على طفل مقتول داخل حظيرة «مواشي» بالشرقية    السكة الحديد تعدل تركيب عدد من القطارات وامتداد أخرى لمحطة القاهرة    القاهرة الإخبارية: غارات جوية إسرائيلية تستهدف المناطق الشمالية لخان يونس    مخرجة «رفعت عيني للسما»: نعمل في الوقت الحالي على مشاريع فنية أخرى    مدينة الدواء المصرية توقع شراكة استراتيجية مع شركة أبوت الأمريكية    خلال يومين.. الكشف وتوفير العلاج ل1600 مواطن ببني سويف    صباحك أوروبي.. صفقة ليفربول الأولى.. انتظار مبابي.. وإصابة مدافع إيطاليا    السكة الحديد تعلن تأخيرات القطارات المتوقعة اليوم الإثنين    شرف عظيم إني شاركت في مسلسل رأفت الهجان..أبرز تصريحات أحمد ماهر في برنامج "واحد من الناس"    5 فصول من مواهب أوبرا دمنهور في أمسية فنية متنوعة    مواعيد مباريات اليوم الإثنين 3-6- 2024 والقنوات الناقلة لها    مصرع شخصين وإصابة 5 آخرين في حادث تصادم بأسيوط    الأنبا فيلوباتير يناقش مع كهنة إيبارشية أبوقرقاص ترتيبات الخدمة    أخبار مصر: حقيقة تغيير سعر نقاط الخبز ومصير الدعم، بيع مقتنيات سمير صبري، السكك الحديدية تحذر المواطنين،أفشة: 95% من المصريين مش بيفهموا كورة    تعرف على مواقيت الصلاة اليوم الاثنين 3-6-2024    حريق كبير إثر سقوط صواريخ في الجولان المحتل ومقتل مدنيين جنوب لبنان    بالفيديو.. أول تعليق من شقيق المفقود السعودي في القاهرة على آخر صور التقطت لشقيقه    سيدة تشنق نفسها بحبل لإصابتها بأزمة نفسية بسوهاج    كلاوديا شينباوم.. في طريقها للفوز في انتخابات الرئاسة المكسيكية    كيفية حصول نتيجة الشهادة الإعدادية 2024 بني سويف    أفشة: هدف القاضية ظلمني.. وأمتلك الكثير من البطولات    ارتبط اسمه ب الأهلي.. من هو محمد كوناتيه؟    أحداث شهدها الوسط الفني خلال ال24 ساعة الماضية.. شائعة مرض وحريق وحادث    أفشة يكشف عن الهدف الذي غير حياته    عماد الدين أديب: نتنياهو الأحمق حول إسرائيل من ضحية إلى مذنب    متحدث الوزراء: الاستعانة ب 50 ألف معلم سنويا لسد العجز    أمين سر خطة النواب: أرقام الموازنة العامة أظهرت عدم التزام واحد بمبدأ الشفافية    محمد الباز ل«بين السطور»: «المتحدة» لديها مهمة في عمق الأمن القومي المصري    فضل صيام العشر الأوائل من ذي الحجة وفقا لما جاء في الكتاب والسنة النبوية    «رئاسة الحرمين» توضح أهم الأعمال المستحبة للحجاج عند دخول المسجد الحرام    وزير الصحة: تكليف مباشر من الرئيس السيسي لعلاج الأشقاء الفلسطينيين    إنفوجراف.. مشاركة وزير العمل في اجتماعِ المجموعةِ العربية لمؤتمر جنيف    مصرع 5 أشخاص وإصابة 14 آخرين في حادث تصادم سيارتين بقنا    تنخفض لأقل سعر.. أسعار الذهب والسبائك بالمصنعية اليوم الإثنين 3 يونيو بالصاغة    الإفتاء تكشف عن تحذير النبي من استباحة أعراض الناس: من أشنع الذنوب إثمًا    دعاء في جوف الليل: اللهم افتح علينا من خزائن فضلك ورحمتك ما تثبت به الإيمان في قلوبنا    الفنان أحمد ماهر ينهار من البكاء بسبب نجله محمد (فيديو)    إصابة أمير المصري أثناء تصوير فيلم «Giant» العالمي (تفاصيل)    حالة عصبية نادرة.. سيدة تتذكر تفاصيل حياتها حتى وهي جنين في بطن أمها    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"كاسبرسكي لاب" تتوصل إلى حل للغز حملة Turla للتجسس الإلكتروني
دعاء جابر نشر في الوادي يوم 11 - 08 - 2014

تعتبر عملية " Epic" بمثابة المرحلة الأولى لسلسلة إصابات متعددة المراحل من حملة "Turla" للتجسس الإلكتروني وتعرف أيضاً باسم Snake أو Uroburos، و هي واحدة من أكثر حملات التجسس الإلكتروني المتطورة.
عندما نشر البحث الأول الذي أجري حول حملات التجسس الإلكتروني Turla أو Snake أو Uroburos، لم يقدم إجابة وافية على أهم سؤال حول كيفية تعرض الضحايا للإصابة، واليوم، أظهرت نتائج أحدث بحث أجرته كاسبرسكي لاب على هذه العملية بأنEpic هي المرحلة التمهيدية لآلية تعرض ضحية Turla للاصابة.
واستخدم مشروع Epic منذ عام 2012، وقد كان أعلى مستوى نشاط له خلال شهري يناير وفبراير من العام 2014. وفي الآونة الأخيرة، رصدت كاسبرسكي لاب هذا الهجوم على أحد مستخدميها بتاريخ 5 أغسطس من العام 2014.
وتنتمي أهدافEpic إلى الفئات التالية: الشركات الحكومية (وزارة الداخلية ووزارة التجارة والاقتصاد ووزارة الخارجية /الشؤون الخارجية ووكالات الاستخبارات)، والسفارات، والمؤسسات العسكرية، ومؤسسات البحوث، والمؤسسات التعليمية، وشركات الأدوية.
ويبدو كذلك أن معظم الضحايا يتركزون في منطقة الشرق الأوسط وأوروبا، إلا أن الباحثين لاحظوا وجود عدد من الضحايا في مناطق أخرى أيضاً منها الولايات المتحدة. وبالإجمال، تمكن خبراء كاسبرسكي لاب من إحصاء بضع مئات من ضحايا ال IPs الذين يتوزعون في أكثر من 45 دولة تأتي فرنسا في مقدمتها.
وتوصل باحثو كاسبرسكي لاب إلى أن مهاجمي Epic Turla يلجؤون لاستخدام أساليب مثل "هجوم دون انتظار - zero-day exploits " والهندسة المجتمعية وتقنيات الثغرات الأمنية - watering hole (وهي مواقع انترنت لها أهمية كبيرة لدى الضحايا والتي تكون قد اخترقت من قبل المهاجمين وتم استخدامها لدس رموز تشفير خبيثة) لاستهداف الضحية. على سبيل المثال، لاحظت كاسبرسكي لاب أن هناك أكثر من 100 موقع على شبكة الإنترنت تعاني من ثغرات أمنية. إن اختيار المواقع الإلكترونية يعكس اهتمامات محددة لدى المهاجمين. ففي إسبانيا مثلاً، لوحظ أن الكثير من المواقع الإلكترونية المصابة تعود إلى الحكومات المحلية.
وعندما يقوم أي مستخدم بعيد عن الشبهة بفتح ملف PDF خبيث مصمم بحرفية عالية باستخدام نظام لا يحظى بالحماية الكافية، فيتعرض الجهاز للإصابة تلقائياً، مما يتيح للمهاجم فرصة التحكم الفوري بالنظام المستهدف.
وفي حال تعرض المستخدم للإصابة، تواصل ملفات التجسس فيEpic طريقها لكي تتصل فوراً بخادم الأوامر والتحكم (C&C) لغرض إرسال حزمة من المعلومات عن نظام الضحية. عندما يتعرض النظام للاختراق، يتلقى المهاجمون لمحة موجزة عن معلومات الضحية، وبناءً على ذلك، يقومون بإرسال مجموعة من الملفات المعرفة مسبقاً والتي تحتوي على سلسلة من الأوامر ليصار إلى تنفيذها. بالإضافة لذلك، يقوم المهاجمون بتحميل أدوات مخصصة للتحكم بالحركات الانتقالية الجانبية. وهذا يشمل برنامج اختراقkeylogger محدد وملفات الأرشفة RAR وبرامج خدمية رئيسية أخرى مثل أداة DNS Query من Microsoft.
وأثناء التحليل، راقب باحثو كاسبرسكي لاب المهاجمين وهم يستخدمون البرنامج الخبيث Epic لنشر ملفات تجسس أكثر تعقيداً تعرف باسم "نظام Cobra/Carbon" أو تعرف أيضاً باسم "Pfinet" عن طريق بعض من برامج مكافحة الفيروسات. وبعد فترة وجيزة، ذهب المهاجمون إلى أبعد من ذلك واستخدموا مثبت Epic لتحديث ملف تعريف Carbon بحيث يتوافق مع مجموعة مختلفة من خوادم الأوامر والتحكم (C&C). ويشير الفهم الفريد لكيفية تشغيل ملفي التجسس هذين إلى وجود رابط بينهما وكذلك بوجود رابط بين المهاجمين أنفسهم.
وأوضح كوستين ريو، مدير فريق الأبحاث والتحليل العالمي في كاسبرسكي لاب قائلاً: "إن تحديثات ملف تعريف البرنامج الخبيث المعروف باسم نظام Carbon هو أمر مثير للاهتمام لأنه مشروع آخر يتعلق بعامل التهديد Turla. وهذا يدل على أننا نواجه إصابات متعددة المستويات بدأت بحملة Epic Turla وسرعان ما تفشت وانتشرت لتوقع عدداً أكبر من الأفراد المرموقين ضحية لها. وفي حال كانت الضحية تحظى بمكانة مرموقة، يتم تخصيص نظام Turla Carbon المحدث بالكامل استعداداً لمهاجمتها."
وتتكون الصورة الكاملة لحملة Turla من:
. Epic Turla / Tavdig: المرحلة المبكرة من الإصابة
. نظام Cobra Carbon أو Pfinet (وغيره): وسائط ترقية وإضافات مثبتة.
. Snake / Uroburos : نظام برمجي خبيث عالي المستوى يحتوي على تتضمن برامج خبيثة محملة بفيروسات خفية وأنظمة ملفات افتراضية.
ومن الواضح أن المهاجمين الذين يعملون وراء كواليس عملية Turla ليسوا من الناطقين باللغة الإنجليزية الأصليين. وهناك مؤشرات تدل على أصول هؤلاء المهاجمين. مثال ذلك أن البعض من ملفات التجسس المجمعة في الأنظمة هي باللغة الروسية. وفضلاً عن ذلك، لوحظ أن إحدى ملفات التجسس المنبثقة عن عمليةEpic كانت تحمل اسماً حركياً هو Zagruzchik.dll، ومعناه باللغة الروسية: "محمل الإقلاع". إن لوحة التحكم بعملية Epic مزودة بخاصية ضبط اللغة بما يتماشى مع نظام التشفير codepage 1251المستخدم لاتاحة استخدام الأحرف السيريالية.
ومن المحتمل أن يكون هناك روابط بين حملات مختلفة للتجسس الإلكتروني. على سبيل المثال، في شهر فبراير من عام 2014 لاحظ خبراء كاسبرسكي لاب أن عامل التهديد المعروف باسم Miniduke كان يستخدم ال webshell لإدارة الخوادم الإلكترونية المخترقة تماماً كما فعل فريق Epic .

انقر هنا لقراءة الخبر من مصدره.