شركة أمنية روسية أصدرت Kaspersky اليوم بحثًا جديدًا يضيف قطعة أخرى إلى أحجية مجموعة قراصنة يبدو أن عملياتها تمتد إلى ما هو أبعد مما أدركه الباحثون سابقًا.
سلط بحث نُشر الأسبوع الماضي من شركة Malwarebytes الأمنية الضوء على مجموعة قرصنة ، Red Stinger ، كانت تنفذ عمليات تجسس ضد ضحايا موالين لأوكرانيا في وسط أوكرانيا وضحايا موالين لروسيا في شرق أوكرانيا. كانت النتائج مثيرة للاهتمام بسبب المزيج الأيديولوجي للأهداف وعدم وجود صلات بمجموعات القرصنة المعروفة الأخرى. قبل أسابيع قليلة من إصدار Malwarebytes لتقريرها ، نشرت Kaspersky أيضًا بحثًا حول المجموعة ، والتي تسميها Bad Magic ، وخلصت بالمثل إلى أن البرامج الضارة المستخدمة في الهجمات لم يكن لها صلات بأي أدوات قرصنة أخرى معروفة. يربط البحث الذي أصدره Kaspersky اليوم أخيرًا المجموعة بالنشاط السابق ويوفر بعض السياق الأولي لفهم الدوافع المحتملة للمهاجمين.
بإضافة أبحاث Malwarebytes إلى ما وجدوه بشكل مستقل ، راجع باحثو Kaspersky بيانات القياس عن بُعد التاريخية للبحث عن الاتصالات. في النهاية ، اكتشفوا أن بعض البنية التحتية السحابية والبرامج الضارة التي تستخدمها المجموعة كانت لها أوجه تشابه مع حملات التجسس في أوكرانيا التي حددتها شركة الأمان ESET في عام 2016 ، بالإضافة إلى الحملات التي اكتشفتها شركة CyberX في عام 2017.
“اكتشف Malwarebytes المزيد حول مرحلة الإصابة الأولية ، ثم اكتشفوا المزيد حول المثبت” المستخدم في بعض هجمات المجموعة منذ عام 2020 ، كما يقول جورجي كوتشرين ، الباحث في البرامج الضارة في Kaspersky. “بعد نشر تقريرنا حول البرامج الضارة ، قررنا عرض البيانات السابقة حول الحملات المماثلة التي لها أهداف مماثلة والتي حدثت في الماضي. هذه هي الطريقة التي اكتشفنا بها الحملتين المتشابهتين من ESET و CyberX ، واستنتجنا بثقة متوسطة إلى عالية أن الحملات مرتبطة ببعضها البعض ومن المحتمل أن يتم تنفيذها جميعًا بواسطة نفس الممثل “.
النشاط المختلف عبر الزمن له نفس الضحية ، مما يعني أن المجموعة ركزت على نفس الأنواع من الأهداف ، بما في ذلك المسؤولون العاملون مع الفصائل الموالية لروسيا داخل أوكرانيا والمسؤولين الحكوميين والسياسيين والمؤسسات الأوكرانية. يلاحظ كوتشرين أيضًا أنه وجد وزملاؤه أوجه تشابه وتداخلات متعددة في كود المكونات الإضافية التي تستخدمها البرامج الضارة للمجموعة. حتى أنه يبدو أن بعض الرموز تم نسخها ولصقها من حملة إلى أخرى. ورأى الباحثون استخدامًا مشابهًا للتخزين السحابي وتنسيقات الملفات المميزة على الملفات التي قامت المجموعة بتصديرها إلى خوادمهم.
وثق بحث Malwarebytes الذي نُشر الأسبوع الماضي خمس حملات منذ عام 2020 من قبل مجموعة القرصنة ، بما في ذلك حملة استهدفت عضوًا في الجيش الأوكراني يعمل على البنية التحتية الحيوية الأوكرانية. استهدفت حملة أخرى مسؤولي الانتخابات المؤيدين لروسيا في شرق أوكرانيا ، ومستشار لجنة الانتخابات المركزية الروسية ، وأحد العاملين في مجال النقل في المنطقة.
بالعودة إلى عام 2016 ، كتبت ESET عن النشاط الذي أطلق عليه “عملية Groundbait”: “النقطة الرئيسية التي تميز عملية Groundbait بصرف النظر عن الهجمات الأخرى هي أنها استهدفت في الغالب الانفصاليين المناهضين للحكومة في جمهوريتي دونيتسك ولوهانسك الشعبية المعلنة من جانب واحد. . بينما يبدو أن المهاجمين مهتمون أكثر بالانفصاليين والحكومات المعلنة من جانب واحد في مناطق الحرب في شرق أوكرانيا ، كان هناك أيضًا عدد كبير من الأهداف الأخرى ، بما في ذلك ، من بين أمور أخرى ، مسئولو الحكومة الأوكرانية والسياسيون والصحفيون “.