كيف فككت الولايات المتحدة شبكة برامج ضارة يستخدمها جواسيس روس لسرقة أسرار الحكومة

تتبع مكتب التحقيقات الفدرالي البرمجيات الخبيثة للتجسس الإلكتروني لما يقرب من عقدين

حكومة الولايات المتحدة قالت إنها عطلت حملة تجسس إلكتروني روسية طويلة الأمد سرقت معلومات حساسة من حكومات الولايات المتحدة وحلف شمال الأطلسي ، وهي العملية التي استغرقت الفيدراليين قرابة 20 عامًا ،

وزارة العدل أعلن يوم الثلاثاء ، نجحت عملية لمكتب التحقيقات الفيدرالي في تفكيك شبكة البرامج الضارة “الأفعى” التي تستخدمها تورلا ، وهي مجموعة قرصنة سيئة السمعة مرتبطة منذ فترة طويلة بجهاز الأمن الفيدرالي الروسي (FSB). تم ربط تورلا سابقًا بهجمات إلكترونية تستهدف القيادة المركزية الأمريكية ووكالة ناسا والبنتاغون.

يصف المسؤولون الأمريكيون برنامج Snake بأنه “أكثر أدوات التجسس السيبراني تطوراً في ترسانة FSB”.

حددت وزارة العدل وشركاؤها العالميون برنامج Snake الضار في مئات أنظمة الكمبيوتر في 50 دولة على الأقل. قال ممثلو الادعاء إن الجواسيس الروس الذين يقفون وراء مجموعة تورلا استخدموا البرمجيات الخبيثة لاستهداف الدول الأعضاء في الناتو – وأهداف أخرى للحكومة الروسية – منذ عام 2004.

في الولايات المتحدة ، استخدمت FSB شبكتها المترامية الأطراف من أجهزة الكمبيوتر المصابة بالأفعى لاستهداف الصناعات بما في ذلك التعليم والشركات الصغيرة والمؤسسات الإعلامية ، إلى جانب قطاعات البنية التحتية الحيوية بما في ذلك المرافق الحكومية والخدمات المالية والتصنيع والاتصالات. قال مكتب التحقيقات الفيدرالي إنه حصل على معلومات تشير إلى أن تورلا استخدم أيضًا برنامج Snake الضار لاستهداف جهاز كمبيوتر شخصي لصحفي في شركة إخبارية أمريكية لم تذكر اسمها كانت قد أبلغت الحكومة الروسية.

وأضاف ممثلو الادعاء أن Snake يستمر في التعامل مع نظام الكمبيوتر المخترق “إلى أجل غير مسمى” ، على الرغم من جهود الضحية لتحييد العدوى.

قالت وزارة العدل ، بعد سرقة وثائق حساسة ، سرقت هذه المعلومات من خلال شبكة سرية من نظير إلى نظير من أجهزة الكمبيوتر المخترقة من نوع Snake في الولايات المتحدة ودول أخرى ، مما يجعل اكتشاف وجود الشبكة أمرًا صعبًا.

من بروكلين إلى موسكو

وفق إفادة مكتب التحقيقات الفدراليراقبت السلطات الأمريكية انتشار البرامج الضارة لعدة سنوات ، جنبًا إلى جنب مع قراصنة Turla الذين يديرون Snake من منشآت FSB في موسكو ومدينة ريازان القريبة.

قال مكتب التحقيقات الفدرالي إنه طور أداة تسمى “Perseus” – البطل اليوناني الذي قتل الوحوش – والتي سمحت لعملائه بتحديد حركة مرور الشبكة التي حاول برنامج Snake الخبيث تشويشها.

بين عامي 2016 و 2022 ، حدد مسؤولو مكتب التحقيقات الفيدرالي عناوين IP لثمانية أجهزة كمبيوتر مخترقة في الولايات المتحدة ، وتقع في كاليفورنيا وجورجيا وكونيتيكت ونيويورك وأوريغون وكارولينا الجنوبية وماريلاند. (قال مكتب التحقيقات الفيدرالي إنه نبه أيضًا السلطات المحلية لإنزال عدوى الأفعى على الأجهزة المخترقة الموجودة خارج الولايات المتحدة).

بموافقة الضحية ، تمكن مكتب التحقيقات الفيدرالي من الوصول عن بعد إلى بعض الأجهزة المخترقة ومراقبة كل منها “لسنوات في كل مرة”. سمح ذلك لمكتب التحقيقات الفيدرالي بتحديد الضحايا الآخرين في شبكة الأفعى ، وتطوير القدرات لانتحال صفة مشغلي تورلا وإصدار أوامر لبرنامج Snake الضار كما لو كان عملاء مكتب التحقيقات الفيدرالي هم المتسللين الروس.

ثم في هذا الأسبوع ، بعد الحصول على أمر تفتيش من قاضٍ فيدرالي في بروكلين ، نيويورك ، مُنح مكتب التحقيقات الفيدرالي الضوء الأخضر ليصدر أمرًا جماعيًا بإغلاق الشبكة.

استخدم مكتب التحقيقات الفيدرالي أداة Perseus لتقليد أوامر Snake المضمنة ، والتي عند إرسالها بواسطة Perseus من كمبيوتر FBI ، “ستنهي تطبيق Snake ، بالإضافة إلى تعطيل برنامج Snake الضار بشكل دائم عن طريق الكتابة فوق المكونات الحيوية لزرع Snake دون التأثير أي تطبيقات أو ملفات مشروعة على أجهزة الكمبيوتر المعنية. “

قالت الشهادة الخطية إن مكتب التحقيقات الفيدرالي استخدم Perseus لخداع برنامج Snake الضار لحذف نفسه بنفسه على أجهزة الكمبيوتر التي أصابها. يقول مكتب التحقيقات الفيدرالي إنه يعتقد أن هذا الإجراء قد أدى إلى تعطيل البرامج الضارة التي تسيطر عليها روسيا بشكل دائم على الأجهزة المصابة وسيؤدي إلى تحييد قدرة الحكومة الروسية على الوصول إلى برامج Snake الضارة المثبتة حاليًا على أجهزة الكمبيوتر المعرضة للخطر.

حذر الفدراليون من أنه إذا لم يتخذوا إجراءات لتفكيك شبكة البرمجيات الخبيثة عندما فعلوا ذلك ، لكان بإمكان المتسللين الروس معرفة “كيف تمكن مكتب التحقيقات الفيدرالي والحكومات الأخرى من تعطيل برنامج Snake الضار وتقوية دفاعات Snake.”

بينما قام مكتب التحقيقات الفيدرالي (FBI) بتعطيل برنامج Snake الضار على أجهزة الكمبيوتر المخترقة ، حذرت وزارة العدل من أن المتسللين الروس لا يزال بإمكانهم الوصول إلى الأجهزة المخترقة ، نظرًا لأن العملية لم تبحث عن أو تزيل أي برامج ضارة أو أدوات قرصنة إضافية ربما وضعها المتسللون على جهاز. ضحية. الشبكات. حذر الفدراليون أيضًا من أن Turla كثيرًا ما تنشر “keylogger” على أجهزة الضحايا لسرقة بيانات اعتماد مصادقة الحساب ، مثل أسماء المستخدمين وكلمات المرور ، من المستخدمين الشرعيين.

أطلقت وكالة الأمن السيبراني الأمريكية CISA 48 صفحة استشاري مشترك لمساعدة المدافعين على اكتشاف وإزالة برامج Snake الضارة على شبكاتهم.

اقرأ أكثر: