ميدوسا الأمريكية تطيح تورلا.. فماذا عن الأفعى الروسية الإلكترونية السامة؟

ترجمات - السياق

على طاولة التوتر بين الولايات المتحدة وروسيا، التي لم تهدأ منذ زمن ليس بالبعيد، تحول الصراع بين القوتين العظميين، من الساحة الأوكرانية إلى باحات الإنترنت والقرصنة.

آخر تلك الجولات من الصراع الذي ازدادت وتيرته، ما أعلنته وزارة العدل الأمريكية –الثلاثاء- قائلة إن الولايات المتحدة وحلفاءها فككوا نظام تجسس إلكتروني، استخدمه جهاز المخابرات الروسي للتجسس على أجهزة الكمبيوتر في العالم.

وفي تقرير منفصل، صورت وكالة الأمن السيبراني وأمن البنية التحتية، النظام المعروف بشبكة البرامج الضارة «الأفعى»، بأنه «أداة التجسس الإلكتروني الأكثر تطورًا» في ترسانة خدمة الأمن الفيدرالية، التي استخدمتها لمراقبة الأهداف الحساسة، بما في ذلك شبكات الحكومة ومرافق البحث والصحفيين.

وتقول صحيفة نيويورك تايمز، إن جهاز الأمن الفيدرالي استخدم البرامج الخبيثة الضارة، للوصول إلى وسرقة وثائق العلاقات الدولية وغيرها من الاتصالات الدبلوماسية من إحدى دول "الناتو".

 

أهداف روسية

وتقول وزيرة العدل الأمريكية، إن الوكالة الروسية استخدمت تلك البرامج لاستهداف أجهزة الكمبيوتر عبر أكثر من 50 دولة وداخل مجموعة من المؤسسات الأمريكية، شملت التعليم والشركات الصغيرة والمؤسسات الإعلامية، فضلاً عن قطاعات البنية التحتية الحيوية بما في ذلك المرافق الحكومية والخدمات المالية والتصنيع والاتصالات المهمة.

وأشاد كبار مسؤولي وزارة العدل الأمريكية بإزالة تلك البرامج الضارة، فقالت ليزا أو موناكو، نائبة المدعي العام: «من خلال عملية عالية التقنية حولت البرمجيات الخبيثة الروسية ضد نفسها، حيدت سلطات إنفاذ القانون الأمريكية واحدة من أكثر أدوات التجسس السيبراني تطوراً في روسيا، استُخدمت -على مدى عقدين من الزمن- لتعزيز الأهداف الاستبدادية لروسيا». 

وفي ملف محكمة من 33 صفحة كُشف عنه مؤخرًا من قاضٍ فيدرالي في بروكلين، أوضح وكيل الأمن السيبراني، تايلور فوري، كيف ستكون هذه الجهود، المسماة عملية ميدوسا.

وقالت وثائق المحكمة إن نظام Snake يعمل كشبكة «نظير إلى نظير» تربط أجهزة الكمبيوتر المصابة ببعضها عبر العالم. 

كانت الحكومة الأمريكية تدقق في البرامج الضارة المتعلقة بالأفعى منذ ما يقرب من عقدين، وفقًا لملفات المحكمة، التي قالت إن وحدة من مكتب الأمن الفيدرالي تعرف بـ "تورلا" كانت تدير الشبكة من ريازان بروسيا.

ورغم أن خبراء الأمن السيبراني حددوا ووصفوا شبكة Snake، فإن "تورلا" أبقتها قيد التشغيل، من خلال الترقيات والمراجعات.

قال المسؤولون إنه كان من الصعب إزالة البرامج الضارة من أنظمة الكمبيوتر المصابة، كما أن شبكة نظير إلى نظير السرية قطعت وشفرت البيانات المسروقة، أثناء توجيهها خلسة عبر «عقد ترحيل منتشرة في العالم، إلى مشغلي تورلا في روسيا بالطريقة التي كان من الصعب اكتشافها».

وقال تقرير وكالة الأمن السيبراني وأمن البنية التحتية إن Snake صُمم بطريقة تسمح لمشغليها بدمج المكونات الجديدة أو التي ترقت بسهولة، والعمل على أجهزة الكمبيوتر التي تعمل بأنظمة تشغيل Windows و Macintosh و Linux.

و«حال إدراك تورلا لعملية ميدوسا قبل تنفيذها بنجاح، يمكن لتورلا استخدام برنامج Snake الضار على أجهزة الكمبيوتر المعنية وغيرها من الأنظمة التي اختُرقت من Snake عبر العالم لمراقبة تنفيذ العملية لمعرفة كيفية قيام مكتب التحقيقات الفيدرالي F.B.I». 

وأضاف الوكيل الخاص فوري أن الحكومات الأخرى كانت قادرة على تعطيل برنامج Snake الضار وتقوية دفاعات الأفعى.

 

وصول سري

وقالت «بوليتيكو» الأمريكية، إن الجواسيس الروس لم يستخدموا نظام Snake لشن هجمات جسدية، إلا أنه مع ذلك، كان يمثل شيئًا ما يشبه سكينًا للتجسس الرقمي، ما يمنح الجواسيس الروس وصولًا سريًا إلى أجهزة الكمبيوتر الضحية، ويسمح لهذه الأجهزة بالاتصال سرًا في ما بينها، والعمل كنقطة انطلاق لنشاط إضافي من أشباح الكرملين.

ولسنوات، تجنب برنامج Snake الضار الكشف من السلطات الأمريكية، من خلال استخدام بروتوكولين مخصصين للاتصال الرقمي، وهي تقنية تهرب متطورة سمحت للروس بإرسال اتصالات سرية بأجهزة أخرى اختُرقت، وفقًا لوثائق المحكمة التي كُشف عنها الثلاثاء.

وفي مؤشر آخر على مدى دقة العملية الروسية، حددت لائحة الاتهام ثماني ضحايا فقط لعملية التجسس في الكرملين، المقيمين في الولايات المتحدة، لكن السلطات الأمريكية، التي كانت تحقق في البرامج الضارة أكثر من 10 سنوات، حددت -في النهاية- طريقة تلك الاتصالات وفك تشفيرها، بحسب «بوليتيكو».

وتقول «سي بي إس نيوز» الأمريكية، إن برنامج Snake الضار قُيم من قِبل مجتمع المخابرات الأمريكية بأنه «أحد أكثر مجموعات البرامج الضارة التي تستخدمها أجهزة المخابرات الروسية تعقيدًا، لاستهداف وزارات الخارجية والدفاع في الدول المتحالفة مع الناتو».

وبدأ مكتب التحقيقات الفدرالي نشر أداة PERSEUS ضد أجهزة الكمبيوتر المصابة، وتمكن من تأكيد أن وصول "تورلا" إلى عديد من أجهزة الكمبيوتر قد تعطل، حسبما صرح مسؤول في مكتب التحقيقات الفيدرالي للصحفيين، صباح الثلاثاء.

ويقول المكتب إنه أبلغ الضحايا الذين جرى الوصول إلى أنظمة الكمبيوتر الخاصة بهم كجزء من عملية ميدوسا، وأصدرت الولايات المتحدة وشركاء Five Eyes استشارة مشتركة للأمن السيبراني، مع معلومات فنية مفصلة عن البرامج الضارة، حتى يتمكن خبراء الأمن السيبراني من اكتشاف ما إذا كانت الشبكات الأخرى قد يكون لديها مصاب.

وقال المسؤولون إن هناك خطرًا على بعض المستهدفين، لأنه بعد الوصول إلى الشبكات، من المعروف أن مجموعة تورلا تستخدم أداة "keylogger" التي تسرق كلمات مرور الحساب وبيانات اعتماد التصديق الأخرى.

 

الأفعى

تقول وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية، إن Snake أو الأفعى، أداة التجسس الإلكتروني الأكثر تطورًا في الترسانة الروسية، مشيرة إلى أن تطورها ينبع من ثلاثة مجالات رئيسة. 

الأول: تستخدم هذه البرامج وسائل لتحقيق مستوى نادر من التخفي في مكوناتها المضيفة واتصالات الشبكة.

والثاني: تسمح البنية الفنية الداخلية لها بدمج المكونات الجديدة أو البديلة بسهولة، ما يسهل التطوير وإمكانية التشغيل البيني لمثيلات Snake التي تعمل على أنظمة تشغيل مضيفة مختلفة.

والثالث: يوضح Snake تصميمًا دقيقًا لهندسة البرمجيات وتنفيذها، مع عدم وجود أخطاء كبيرة به بشكل مدهش نظرًا لتعقيدها.

وبعد الإبلاغ عن المصدر المفتوح من قِبل شركات الأمن السيبراني واستخبارات التهديدات بتكتيكات وتقنيات وإجراءات الأفعى (TTPs) ، نفذ جهاز الأمن الفيدرالي الروسي تقنيات جديدة لتجنب الاكتشاف. 

وتعتمد فعالية هذا النوع من أجهزة التجسس الإلكتروني المزروعة كليًا، على التخفي طويل المدى، لأن الهدف من عملية تجسس ممتدة، يتضمن البقاء على الهدف لأشهر أو سنوات، لتوفير وصول ثابت إلى المعلومات الاستخباراتية المهمة. 

وتمثل الجوانب المعقدة بشكل فريد لبرامج Snake جهدًا كبيرًا من قِبل جهاز الأمن الفيدرالي الروسي على مدى سنوات، لتمكين هذا النوع من الوصول السري.

بدأ جهاز الأمن الفيدرالي الروسي تطوير Snake، أواخر عام 2003. ويبدو أن تطوير الإصدارات الأولية اكتمل أوائل عام 2004، مع إجراء العمليات الإلكترونية لأول مرة باستخدام الغرسة بعد ذلك بوقت قصير. 

تنسب عمليات الثعبان إلى وحدة معروفة داخل المركز 16 من جهاز الأمن الفيدرالي الروسي، بينما تعمل هذه الوحدة على نطاق أوسع على تشغيل العناصر العديدة لمجموعة أدوات تورلا، ولديها وحدات فرعية منتشرة بروسيا، في انعكاس لعمليات استخبارات إشارات KGB التاريخية في الاتحاد السوفييتي.