تقول جوجل إن طاقم تجسس روسي يقف وراء حملة برمجيات خبيثة جديدة

يقول باحثو جوجل إن لديهم أدلة على أن مجموعة قرصنة سيئة السمعة مرتبطة بروسيا – يتم تتبعها باسم “النهر البارد” – تعمل على تطوير تكتيكاتها إلى ما هو أبعد من التصيد الاحتيالي لاستهداف الضحايا ببرامج ضارة لسرقة البيانات.

وتشتهر شركة Cold River، المعروفة أيضًا باسم “Callisto Group” و”Star Blizzard”، بشن حملات تجسس طويلة الأمد ضد دول الناتو، وخاصة الولايات المتحدة والمملكة المتحدة.

ويعتقد الباحثون أن أنشطة المجموعة، التي تستهدف عادةً أفرادًا ومنظمات رفيعة المستوى تشارك في الشؤون الدولية والدفاع، تشير إلى علاقات وثيقة مع الدولة الروسية. ووجه ممثلو ادعاء أمريكيون في ديسمبر/كانون الأول الماضي اتهامات إلى مواطنين روسيين مرتبطين بالجماعة.

قالت مجموعة تحليل التهديدات (TAG) التابعة لشركة Google في بحث جديد هذا الأسبوع إنها لاحظت تكثيف شركة Cold River نشاطها في الأشهر الأخيرة واستخدام تكتيكات جديدة قادرة على التسبب في المزيد من الاضطراب لضحاياها، والتي تستهدف في الغالب أوكرانيا وحلفائها في الناتو والمؤسسات الأكاديمية. والمنظمات غير الحكومية.

وتأتي هذه النتائج الأخيرة بعد وقت قصير من إعلان باحثي مايكروسوفت أن مجموعة القرصنة المتحالفة مع روسيا حسنت قدرتها على تجنب الكشف.

في بحث تمت مشاركته مع TechCrunch قبل نشره يوم الخميس، يقول باحثو TAG إن Cold River واصلت التحول إلى ما هو أبعد من تكتيكها المعتاد المتمثل في التصيد الاحتيالي للحصول على بيانات الاعتماد لتوصيل البرامج الضارة عبر الحملات باستخدام مستندات PDF كإغراءات.

تتنكر مستندات PDF هذه، التي قالت TAG إن شركة Cold River قد سلمتها إلى الأهداف منذ نوفمبر 2022، في شكل مقال افتتاحي للرأي أو نوع آخر من المقالات التي يتطلع الحساب المخادع إلى التماس التعليقات عليها.

عندما يفتح الضحية ملف PDF الحميد، يظهر النص كما لو كان مشفرًا. إذا استجاب الهدف بأنه لا يستطيع قراءة المستند، فسيرسل المتسلل رابطًا إلى أداة “فك التشفير”، والتي يقول باحثو Google إنها باب خلفي مخصص يتم تتبعه باسم “SPICA”. يمنح هذا الباب الخلفي، الذي تقول Google إنه أول برنامج ضار مخصص تم تطويره واستخدامه بواسطة Cold River، للمهاجمين إمكانية الوصول المستمر إلى جهاز الضحية لتنفيذ الأوامر وسرقة ملفات تعريف الارتباط للمتصفح وإخراج المستندات.

صرح بيلي ليونارد، مهندس الأمن في TAG، لـ TechCrunch أن Google ليس لديها رؤية لعدد الضحايا الذين تم اختراقهم بنجاح باستخدام SPICA، لكنه قال إن الشركة تعتقد أن SPICA تم استخدامه فقط في “هجمات محدودة للغاية ومستهدفة”. وأضاف ليونارد أنه من المحتمل أن تكون البرامج الضارة لا تزال قيد التطوير النشط ويتم استخدامها في الهجمات المستمرة وأن نشاط Cold River “ظل ثابتًا إلى حد ما على مدار السنوات العديدة الماضية”، على الرغم من إجراءات إنفاذ القانون.

تقول Google إنه عند اكتشاف حملة البرمجيات الخبيثة Cold River، أضافت شركة التكنولوجيا العملاقة جميع مواقع الويب والمجالات والملفات المحددة إلى خدمة التصفح الآمن الخاصة بها لمنع الحملة من استهداف مستخدمي Google بشكل أكبر.

وربط باحثو جوجل سابقًا مجموعة Cold River بعملية اختراق وتسريب شهدت سرقة وتسريب مجموعة كبيرة من رسائل البريد الإلكتروني والوثائق من مؤيدي خروج بريطانيا من الاتحاد الأوروبي رفيعي المستوى، بما في ذلك السير ريتشارد ديرلوف، الرئيس السابق لجهاز المخابرات الخارجية البريطاني MI6.