كشفت شركة غوغل أن مجموعة تجسس روسية تقف وراء حملة برمجيات خبيثة جديدة، بحسب المعلومات التي قدمتها الشركة.
هذه المنظمة، المعروفة بتنفيذ أنشطة تجسس طويلة الأمد ضد دول الناتو مثل الولايات المتحدة والمملكة المتحدة، تستخدم الآن تكتيكات محسنة لإصابة ضحاياها ببرامج ضارة لسرقة البيانات.
المجموعة التي تم تحديدها باسم "Cold River"، والمعروفة أيضًا باسم "Callisto Group" و"Star Blizzard"، تستهدف في المقام الأول الأفراد والمنظمات المشاركة في الشؤون الدولية والدفاع.ويعتقد الباحثون أن العلاقة الوثيقة بين أنشطة الجماعة والدولة الروسية واضحة. ومؤخرًا، تم توجيه الاتهام إلى مواطنين روسيين في الولايات المتحدة لصلتهما بالجماعة.
ووفقا لمجموعة تحليل التهديدات التابعة لشركة غوغل (TAG)، كثفت شركة Cold River نشاطها في الأشهر الأخيرة وتستخدم تكتيكات جديدة أكثر تدميرا ضد ضحاياها، والتي تشمل في المقام الأول أهدافا في أوكرانيا، وحلفاء الناتو، والمؤسسات الأكاديمية والمنظمات الحكومية.
عندما يفتح الضحية ملف PDF، يبدو النص مشفرًا. إذا أبلغ الضحية أنه لا يستطيع قراءة المستند، فسيرسل المتسلل رابطًا إلى أداة "فك التشفير".
تسمح هذه الأداة المساعدة ، التي حددها باحثو غوغل على أنها باب خلفي مخصص يسمى "SPICA"، للمهاجمين بالوصول المستمر إلى جهاز الضحية، وتنفيذ الأوامر، وسرقة ملفات تعريف الارتباط للمتصفح، واستخراج المستندات.
يحذر باحثو غوغل من أن البرامج الضارة SPICA تُستخدم فقط في الهجمات المستهدفة والمحدودة. ومع ذلك، فإنهم يعتقدون أن تطوير واستخدام البرامج الضارة لا يزال مستمرًا.
اتخذت غوغل خطوات لحظر حملة البرمجيات الخبيثة Cold River، حيث أضافت جميع المواقع والمجالات والملفات المحددة إلى خدمة التصفح الآمن الخاصة بها لحماية المستخدمين من هذه الهجمات.
ويضيف اكتشاف غوغل هذا إلى سلسلة من الأنشطة السابقة التي قامت بها مجموعة Cold River، بما في ذلك عملية اقتحام وتسريب أدت إلى سرقة رسائل البريد الإلكتروني والوثائق والكشف عنها لمؤيدي خروج بريطانيا من الاتحاد الأوروبي البارزين في المملكة المتحدة.
ليست هناك تعليقات:
إرسال تعليق