الدولة الروسية نفذت مجموعة Hacker المعروفة باسم Turla بعضًا من المآثر الأكثر إبداعًا في تاريخ الإصلاح الإلكتروني ، حيث قامت باختباء اتصالات البرامج الضارة في اتصالات الأقمار الصناعية أو اختطاف عمليات المتسللين الآخرين لاستخراج البيانات الخاصة بهم. ومع ذلك ، عندما يعملون على العشب المنزلي ، اتضح أنهم جربوا نهجًا رائعًا ، إذا كان أكثر وضوحًا ، يبدو أنهم استخدموا سيطرتهم على مقدمي خدمات الإنترنت في روسيا لزرع برامج التجسس مباشرة على أجهزة الكمبيوتر الخاصة بأهدافهم في موسكو.
ركز فريق أبحاث الأمان من Microsoft على اختراق التهديدات اليوم تقريرًا يوضح بتفصيل تقنية تجسس جديدة غدرا تستخدمها Turla ، والتي يُعتقد أنها جزء من وكالة FSB الاستخباراتية في الكرملين. يبدو أن المجموعة ، المعروفة أيضًا باسم الثعابين أو الدب السامة أو اسم Microsoft الخاص ، Secret Blizzard ، قد استخدمت وصولها التي تعتمد عليها الدولة إلى مزودي خدمة الإنترنت الروسيين للتدخل مع حركة المرور على الإنترنت وضحايا الخداع العاملين في السفارات الأجنبية التي تعمل في موسكو لتثبيت البرامج الضارة للمجموعة على أجهزة الكمبيوتر الخاصة بهم. ثم ظلت برامج التجسس تعطيل التشفير على آلات تلك الأهداف بحيث ظلت البيانات التي تم نقلها عبر الإنترنت غير مشفقة ، تاركًا اتصالاتها وبيانات اعتمادها مثل أسماء المستخدمين وكلمات المرور عرضة تمامًا للمراقبة من قبل هذه المزودات الداخلية نفسها – وأي وكالة للمراقبة الحكومية التي تتعاون معها.
يقول Sherrod Degrippo ، مدير استراتيجية Microsoft لاستخبارات التهديد ، إن هذه التقنية تمثل مزيجًا نادرًا من القرصنة المستهدفة للتجسس والحكومات الأكبر سناً ، والأكثر سلبية للمراقبة الجماعية ، حيث تجمع وكالات التجسس وتجولها من خلال بيانات ISPs والاتصالات إلى أهداف المسح. يقول ديجربو: “هذا يطمس الحدود بين المراقبة السلبية والتسلل الفعلي”.
ويضيف DeGrippo بالنسبة لهذه المجموعة المعينة من المتسللين FSB ، كما أنه يقترح سلاحًا جديدًا قويًا في ترسانةهم لاستهداف أي شخص داخل حدود روسيا. وتقول: “من المحتمل أن يوضح ذلك كيف يفكرون في البنية التحتية للاتصالات في روسيا كجزء من مجموعة أدواتهم”.
وفقًا للباحثين في Microsoft ، تستغل تقنية Turla متصفحات طلب ويب معينة عندما تواجه “بوابة أسيرة” ، ونوافذ تستخدم بشكل شائع للوصول إلى الإنترنت في إعدادات مثل المطارات أو الطائرات أو المقاهي ، ولكن أيضًا داخل بعض الشركات والوكالات الحكومية. في Windows ، تتواصل هذه البوابات الأسيرة إلى موقع ويب Microsoft معين للتحقق من أن جهاز كمبيوتر المستخدم في الواقع عبر الإنترنت. (ليس من الواضح ما إذا كانت البوابات الأسيرة المستخدمة في اختراق ضحايا Turla في الواقع ، كانت في الواقع منها شرعية تستخدم بشكل روتيني من قبل السفارات المستهدفة أو تلك التي فرضها Turla بطريقة ما على المستخدمين كجزء من تقنية القرصنة الخاصة بها.)
من خلال الاستفادة من سيطرتها على مزودي خدمة الإنترنت التي تربط بعض موظفي السفارة الأجنبية بالإنترنت ، تمكنت Turla من إعادة توجيه الأهداف حتى رأوا رسالة خطأ دفعتهم إلى تنزيل تحديث لشهادات التشفير الخاصة بالمتصفح قبل أن يتمكنوا من الوصول إلى الويب. عندما وافق أحد المستخدمين المطمئنين ، قاموا بدلاً من ذلك بتثبيت قطعة من البرامج الضارة التي تسميها Microsoft Apolloshadow ، التي تم إخفاءها – بعضها بشكل غير مفهوم – كتحديث أمني Kaspersky.
أن البرامج الضارة Apolloshadow من شأنها أن تعطل تشفير المتصفح بشكل أساسي ، وتجريد حماية التشفير بصمت لجميع بيانات الويب التي ينقلها الكمبيوتر ويتلقاه. يقول DeGrippo إن هذا العبث البسيط نسبيًا كان من المرجح أن يكون من الصعب اكتشافه من قطعة كاملة من برامج التجسس ، مع تحقيق نفس النتيجة.
