تستأنف مجموعة Sednit الروسية نشاطها في مجال التجسس السيبراني باستخدام أدوات متطورة تستهدف الأصول الأوكرانية، مما يشير إلى عودتها إلى الساحة بعد فترة من الغياب.
بعد سنوات من تجاهل البرمجيات الخبيثة المخصصة، عادت مجموعة التهديد الروسية الشهيرة Sednit لاستخدام مجموعة أدوات مصممة خصيصًا في حملات التجسس السيبراني الأخيرة التي تستهدف الأصول السيبرانية الأوكرانية.
تتكون مجموعة الأدوات من زرعين، أحدهما يستخدم تقنيات من إطار برمجيات خبيثة استخدمته Sednit في العقد الأول من الألفية، بينما الآخر هو برمجية خبيثة مفتوحة المصدر معدلة بشدة للتجسس على المدى الطويل.
مجموعة أدوات جديدة
اكتشف باحثون في ESET البرمجية الخبيثة أثناء التحقيق في اختراق في أوكرانيا حدث في عام 2024، والذي تضمن استخدام مسجل مفاتيح يسمى SlimAgent، الذي كان أيضًا مستندًا إلى كود Sednit من أكثر من 10 سنوات مضت. بجانب مسجل المفاتيح، اكتشف ESET زرعًا آخر للبرمجيات الخبيثة يتتبعونه باسم BeardShell، والذي يسمح للمهاجم بتنفيذ أوامر PowerShell على الأنظمة المخترقة باستخدام خدمة سحابية شرعية تُدعى Icedrive للتواصل بين القيادة والسيطرة (C2).
أظهرت التحقيقات الإضافية استخدام Sednit لـ BeardShell بالتزامن مع Covenant، وهو نسخة معقدة ومعاد تصميمها بشكل كبير من زرع برمجيات مفتوحة المصدر تدعم مجموعة من القدرات بما في ذلك استخراج البيانات، والحركة الجانبية، ومراقبة الأهداف. اكتشف ESET أن البرمجية الخبيثة أصبحت أداة التجسس المفضلة لدى Sednit، حيث يعمل BeardShell كنسخة احتياطية في الحالات التي قد يكتشف فيها الضحية Covenant.
“الدرس الرئيسي هو أن Sednit قد عادت بتطوير برمجيات خبيثة جديدة وتقوم مرة أخرى بتنفيذ حملات تجسس سيبراني معقدة،” يقول باحث في ESET، الذي لم يرغب في الكشف عن هويته.
بالنسبة للمدافعين، الدرس الرئيسي هو أن المجموعة الآن تجمع بين زرع برمجيات مخصصة مع خدمات سحابية شرعية للقيادة والسيطرة، مما يجعل نشاطهم أكثر صعوبة في الكشف من خلال المراقبة الشبكية التقليدية، يقول الباحث. “علاوة على ذلك، فإن تعطيل بنيتهم السحابية معقد لأنهم ينشرون زوجًا من الزرعان بالتوازي، كل منهما يعتمد على مزود سحابي مختلف.” بينما تبدو الأهداف الحالية أنها تتعلق بالعسكريين الأوكرانيين، قد تتوسع المجموعة في تركيزها، اعتمادًا على كيفية تطور الحرب الروسية في أوكرانيا، يضيف الباحث.
تتبع Sednit، المعروفة أيضًا باسم Fancy Bear، APT28، Forest Blizzard، وSofacy، كمجموعة تهديد ربطت السلطات الأمريكية وغيرهم بها مع مديرية الاستخبارات العسكرية الروسية. كانت المجموعة نشطة منذ عام 2004 وترتبط بقائمة طويلة من الحملات، من بينها الهجمات على اللجنة الوطنية الديمقراطية في عام 2016، والبرلمان الألماني في عام 2015، ووكالة مكافحة المنشطات العالمية، ومؤخراً، عدة شركات لوجستية وتقنية معلومات.
مثل غيرها من المهاجمين المستمرين المتقدمين، استخدمت Sednit زرع برمجيات مخصصة، أبواب خلفية للتجسس، وأدوات متخصصة للحركة الجانبية وسرقة البيانات في العديد من حملاتها السابقة. لكن بدءًا من عام 2019، ولأسباب لا يفهمها بائعو البرمجيات مثل ESET تمامًا، توقفت Sednit عن استخدام هذه الأدوات المتطورة وبدأت بدلاً من ذلك نشر زرع برمجيات بسيطة نسبيًا عبر رسائل البريد الإلكتروني الاحتيالية في معظم حملاتها.
إحدى الاحتمالات هي أن Sednit استأنفت جهود تطوير البرمجيات الخبيثة المتقدمة بعد الغزو الروسي لأوكرانيا. “احتمال آخر هو أن المجموعة لم تتوقف أبدًا عن تطوير أدواتها ولكنها ظلت في الخفاء، فقط خرجت من الظلال مرة أخرى مع زيادة الطلب على التجسس السيبراني بسبب الحرب،” يقول الباحث. “تشير السلالة المشتركة للكود مع البرمجيات الخبيثة القديمة لـ Sednit إلى أن نفس فريق التطوير قد استمر في صيانة وتطوير مجموعة أدواته على مر الزمن.”
جهود تطوير مكثفة؟
BeardShell، وفقًا لـ ESET، هو برمجية خبيثة “تحمل علامات جهود تطوير مكثفة.” أشارت الشركة إلى نجاح Sednit في دمج Icedrive لتواصل C2 الخاص بـ BeardShell كدليل على تلك الجهود. نظرًا لأن Icedrive لا تنشر واجهة برمجة تطبيقات عامة، فقد عكس المهاجم عميلها الرسمي لتكرار اتصالاته، وعندما تت disrupt التغييرات في الخدمة وصول البرمجية الخبيثة، يقوم المطورون بسرعة بإصدار تحديثات، مما يشير إلى وجود فريق تطوير نشط ومجهز جيدًا، وفقًا لـ ESET.
بينما، Covenant هو نسخة مخصصة معدلة من إطار استغلال .NET مفتوح المصدر يدعم أكثر من 90 وظيفة لإجراء تجسس سيبراني طويل الأمد. وجدت ESET أن مطوري Sednit أجروا تعديلات متعددة على البرمجية منذ عام 2023 لجعلها أداتهم الرئيسية للبرمجيات الخبيثة.
BeardShell، وفقًا للباحث في ESET، هو زرع جديد تمامًا، على الرغم من أنه يستخدم تقنية إخفاء استخدمتها Sednit في Xtunnel، وهي أداة لتحويل الشبكة من العقد الأول من الألفية. البرمجية “هي في الأساس مفسر PowerShell، والذي استخدمه المشغلون بشكل أساسي لإعادة نشر Covenant، مما يشير إلى أن Covenant هو الزرع المفضل لعمليات التجسس اليومية،” يقول الباحث.
يعتمد كل من BeardShell وCovenant على سلاسل تحميل جديدة مخصصة يتم تحديثها بشكل متكرر من قبل مطوريها، مما يجعل الكشف عنها نوعًا من لعبة القط والفأر. كما أن اعتمادهم على بنى تحتية سحابية شرعية مختلفة لتواصل C2 يجعل البرمجيات الخبيثة صعبة الحظر. “من المهم أيضًا ملاحظة أن Sednit عادة ما تقوم باختراق أهدافها من خلال الهندسة الاجتماعية عبر Signal Desktop أو WhatsApp Desktop،” يقول الباحث، “مقنعين إياهم لفتح مستندات Excel أو Word مصابة. في بعض الحالات، حتى أن المهاجمين يتصلون بأهدافهم لزيادة فرص النجاح.”
مع استمرار الصراع في أوكرانيا، تظل مجموعة Sednit تهديدًا مستمرًا، مما يستدعي مزيدًا من اليقظة من قبل المدافعين عن الأمن السيبراني.
