عصابة للتجسس الإلكتروني تستغل الأقمار الصناعية
كتبت – إيناس الجبالي:
أثناء قيامهم بالتحقيق في حملة التجسس الإلكتروني Turla التي يقودها قراصنة يتحدثون اللغة الروسية، اكتشف باحثو كاسبرسكي لاب كيف تتمكن هذه البرمجية الخبيثة من إخفاء أنشطتها وأماكن تواجدها عن أنظمة الرقابة الأمنية، ولإبقاء هذه البرمجية مجهولة المصدر، تلجأ العصابة الإلكترونية إلى استغلال الثغرات الأمنية الموجودة في الشبكات الفضائية العالمية.
وحملة "Turla" هي عبارة عن عصابة تجسس إلكتروني تعتمد أساليب قرصنة متطورة للغاية وتنشط لأكثر من ثماني سنوات.
وتمكن المجرمون الذين يقودون حملة "Turla" من إصابة المئات من أجهزة الكمبيوتر في أكثر من 45 دولة، بما فيها كازاخستان وروسيا والصين وفيتنام والولايات المتحدة.
ومن ضمن الجهات التي أصيبت بهذه البرمجية، المؤسسات الحكومية والسفارات والمؤسسات العسكرية والتعليمية والأبحاث وشركات الأدوية. في المرحلة الأولى للإصابة تعمل برمجية الباب الخلفي الخبيثة المعروفة باسم "Epic" على إجراء تصنيف للضحايا. بعد ذلك، يقوم المجرمون، الذين يستهدفون فقط الضحايا الأكثر تميزاً والأعلى مستوى، باستخدام آلية الاتصال الفضائي في مراحل لاحقة من الهجوم، مما يساعدهم على إخفاء آثارهم.
وتعرف الأقمار الصناعية بأنها أداة تستخدم على الأغلب في البث التلفزيوني والاتصالات الآمنة، ولكنها، مع ذلك، تستخدم أيضاً لإتاحة الاتصال بالإنترنت. وتكون معظم تطبيقات هذه الخدمات في المناطق البعيدة التي تكون اتصالات الإنترنت فيها إما غير مستقرة أو بطيئة او غير متوفرة كلياً.
وتستغل عصابة Turla هذه الثغرات الأمنية بطرق مختلفة، سواء عن طريق استخدامها لإخفاء موقع خوادم التوجيه والتحكم الخاصة بها والتي تشكل أحد أهم مكونات البنية التحتية للبرمجيات الخبيثة. ويعتبر خادم التوجيه والتحكم بمثابة القاعدة المركزية لدس ونشر البرمجية الخبيثة في الآلات المستهدفة.
واكتشاف موقع هذا الخادم قد يقود المحققين إلى التعرف على تفاصيل عامل التهديد الذي يقف وراء هذه الحملة، وتفادياً للوقوع في مثل هذه المخاطر.
وتتبع عصابة Turla بعدد من الخطوات والأساليب أهمها تقوم العصابة أولاً بالاستماع إلى البيانات الفضائية المتجهة نحو المصدر لتحديد عناوين بروتوكول الإنترنت IP النشطة للمستخدمين المتصلين بالإنترنت في تلك اللحظة، بعد ذلك، تختار العصابة أحد العناوين الإلكترونية ليستخدم في إخفاء خادم التوجيه والتحكم، دون معرفة المستخدم النظامي ، ثم يتم إصدار تعليمات للجهاز المصاب بالبرمجية الخبيثة لإعادة توجيه البيانات إلى عناوين بروتوكول الإنترنت IP التي يتم اختيارها والخاصة بمستخدمي الإنترنت الفضائي الاعتياديين.
وتنتقل البيانات عبر الخطوط التقليدية لتصل إلى محطات الإرسال والاستقبال الخاصة بمزود خدمة الإنترنت الفضائي لتواصل طريقها فيما بعد إلى القمر الصناعي، ولتنتقل بعد ذلك من القمر الصناعي إلى المستخدمين وفق عناوين بروتوكول الإنترنت IP المختارة.
فيديو قد يعجبك: