قالت كاسبرسكى لاب انه أثناء قيام الشركة بالتحقيق في حملة التجسس الإلكتروني Turla التي يقودها قراصنة يتحدثون اللغة الروسية، اكتشف باحثو كاسبرسكي لاب كيف تتمكن هذه البرمجية الخبيثة من إخفاء أنشطتها وأماكن تواجدها عن أنظمة الرقابة الأمنية. ولإبقاء هذه البرمجية مجهولة المصدر، تلجأ العصابة الإلكترونية إلى استغلال الثغرات الأمنية الموجودة في الشبكات الفضائية العالمية.
اضافت إن حملة “Turla” هي عبارة عن عصابة تجسس إلكتروني تعتمد أساليب قرصنة متطورة للغاية وتنشط لأكثر من ثماني سنوات. وقد تمكن المجرمون الذين يقودون حملة “Turla” من إصابة المئات من أجهزة الكمبيوتر في أكثر من 45 دولة، بما فيها كازاخستان وروسيا والصين وفيتنام والولايات المتحدة. من ضمن الجهات التي أصيبت بهذه البرمجية، المؤسسات الحكومية والسفارات والمؤسسات العسكرية والتعليمية والأبحاث وشركات الأدوية.
في المرحلة الأولى للإصابة تعمل برمجية الباب الخلفي الخبيثة المعروفة باسم “Epic” على إجراء تصنيف للضحايا. بعد ذلك، يقوم المجرمون، الذين يستهدفون فقط الضحايا الأكثر تميزاً والأعلى مستوى، باستخدام آلية الاتصال الفضائي في مراحل لاحقة من الهجوم، مما يساعدهم على إخفاء آثارهم.
اوضحت انه غالباً ما تعرف الأقمار الصناعية بأنها أداة تستخدم على الأغلب في البث التلفزيوني والاتصالات الآمنة، ولكنها، مع ذلك، تستخدم أيضاً لإتاحة الاتصال بالإنترنت. وتكون معظم تطبيقات هذه الخدمات في المناطق البعيدة التي تكون اتصالات الإنترنت فيها إما غير مستقرة أو بطيئة او غير متوفرة كلياً. من ضمن أنواع اتصالات الإنترنت الفضائي الأكثر انتشارا ومنخفضة التكلفة ما يعرف باسم وصلة الاستقبالفقط (downstream-only) اي تصفح الانترنتوتحميل البرامج دون القدرة علي الارسال.
في هذه الحالة، يتم إيصال الطلبات الصادرة من جهاز كمبيوتر المستخدم عن طريق الخطوط الاعتيادية (خطوط سلكية أو وصلة خدمةالحزمة العامة الراديوية GPRS) مع جميع تدفقات البيانات الفضائية. وبفضل هذه التكنولوجيا يحظى المستخدم بخدمة تحميل سريعة نسبياً. ومع ذلك، هناك شيء واحد سلبي في تلك الخدمة وهو أن حركة مرور البيانات (downstream traffic) المتجهة إلى جهاز كمبيوتر المستخدم تكون غير مشفرة. وهذا يجعل من السهل على أي مستخدم محتال مجهز بمجموعة من المعدات والبرمجيات الخبيثة غير المكلفة اختراق حركة المرور والسطو على كافة البيانات التي يقوم مستخدمو هذه الروابط بتحميلها.
تستغل عصابة Turla هذه الثغرات الأمنية بطرق مختلفة، سواء عن طريق استخدامها لإخفاء موقع خوادم التوجيه والتحكم الخاصة بها والتي تشكل أحد أهم مكونات البنية التحتية للبرمجيات الخبيثة. ويعتبر خادم التوجيه والتحكم بمثابة القاعدة المركزية لدس ونشر البرمجية الخبيثة في الآلات المستهدفة. واكتشاف موقع هذا الخادم قد يقود المحققين إلى التعرف على تفاصيل عامل التهديد الذي يقف وراء هذه الحملة الخبيثة، وتفادياً للوقوع في مثل هذه المخاطر، تتبع عصابة Turla الخطوات والأساليب التالية:
1. تقوم العصابة أولاً بالاستماع إلى البيانات الفضائية المتجهة نحو المصدر لتحديد عناوين بروتوكول الإنترنت IP النشطة للمستخدمين المتصلين بالإنترنت في تلك اللحظة.
2. بعد ذلك، تختار العصابة أحد العناوين الإلكترونية ليستخدم في إخفاء خادم التوجيه والتحكم، دون معرفة المستخدم النظامي.
3. يتم إصدار تعليمات للجهاز المصاب بالبرمجية الخبيثة لإعادة توجيه البيانات إلى عناوين بروتوكول الإنترنت IP التي يتم اختيارها والخاصة بمستخدمي الإنترنت الفضائي الاعتياديين. تنتقل البيانات عبر الخطوط التقليدية لتصل إلى محطات الإرسال والاستقبال الخاصة بمزود خدمة الإنترنت الفضائي لتواصل طريقها فيما بعد إلى القمر الصناعي، ولتنتقل بعد ذلك من القمر الصناعي إلى المستخدمين وفق عناوين بروتوكول الإنترنت IP المختارة.
واللافت أن المستخدم النظامي التي تم اختراق عنوان بروتوكول الإنترنت الخاص به من قبل القراصنة من أجل استلام البيانات من الجهاز المصاب، سيستلم أيضاً حزمة البيانات نفسها ولكنه لا يكاد يلاحظها. ويعود ذلك إلى أن مهاجمي Turla يصدرون تعليمات للأجهزة المصابة لإرسال البيانات إلى محطات الإرسال والاستقبال التي يتم إغلاقها، في معظم الحالات، على نحو افتراضي. وبالتالي فإن جهاز كمبيوتر المستخدم النظامي سيتخلص من هذه الحزم، في حين أن خادم التوجيه والتحكم التابع لحملة Turla، الذي يبقي هذه المحطات مفتوحة، سيستقبل ويعالج البيانات المستولى عليها.
الأمر الثاني المثير للاهتمام بخصوص تكتيكات حملة Turla أن العصابة تميل إلى استغلال مزودي خدمة الاتصال بالانترنت الفضائي الذين يتخذون مقرات لهم في دول الشرق الأوسط وأفريقيا. ومن خلال أبحاثهم، توصل خبراء كاسبرسكي لاب إلى أن عصابة Turla تلجأ لاستخدام عناوين بروتوكول الإنترنت IP لمزودي تلك الخدمات الذين يتمركزون في دول مثل الكونغو ولبنان وليبيا والنيجر ونيجيريا والصومال والإمارات العربية المتحدة.
إن الحزم الفضائية التي يتم استخدامها من قبل المشغلين في هذه البلدان لا تغطي عادة دول أوروبا وأمريكا الشمالية، مما يجعل من الصعب على معظم الباحثين في الشؤون الأمنية إجراء تحقيقات دقيقة حول هذه الهجمات.
وقال ستيفان تينيس، باحث أمني أول في كاسبرسكي لاب: “لقد شهدنا في الماضي ثلاثة عوامل تهديد مختلفة على الأقل تستخدم روابط الإنترنت الفضائي لإخفاء برمجياتها الخبيثة. من ضمن ذلك، الحل الذي توصلت إليه عصابة Turla ، والذي يعد الأكثر غرابة وإثارة للاهتمام. إن لديهم قدرة على تحقيق أعلى مستويات التخفي عن طريق تسخير تكنولوجيا الإنترنت الفضائية أحادية الاتجاه الأوسع انتشاراً. وهكذا، أصبح بإمكان المهاجمين التواجد في أي مكان داخل الحيز الفضائي الذي يختارونه، والذي قد يكون عبارة عن منطقة تزيد مساحتها عن آلاف الكيلومترات.” وخلص تينيس إلى القول: “وهذا ما يجعل من شبه المستحل تتبع هؤلاء المهاجمين. ونظراً لأن استخدام مثل هذه الأساليب قد أصبح أكثر شيوعاً، فمن المهم لمدراء الأنظمة أن يبادروا بتطبيق الاستراتيجيات الدفاعية المناسبة للتخفيلف من وطأة وتداعيات هذه الهجمات الخبيثة.”
تمكنت منتجات كاسبرسكي لاب من النجاح في منع برمجيات خبيثة تستخدم من قبل عامل التهديد Turla، لا سيما في الهجمات الخبيثة التالية: Backdoor و Win32.Turla.* و Rootkit و Win32.Turla.* و HEUR: Trojan.Win32.Epiccosplay.gen, HEUR: Trojan.Win32.Generic..
