رئيس التحرير
عصام كامل

حملة CommonMagic  للتهديدات المتقدمة المستمرة توسّع نطاقها لتستهدف وسط وغرب أوكرانيا

مجرمو الإنترنت، فيتو
مجرمو الإنترنت، فيتو

كشف خبراء أمن المعلومات مزيد من التفاصيل حول حملة CommonMagic، وكشفوا عن أنشطة خبيثة أكثر تعقيدًا من جهة التهديدات الفعالة ذاتها وجاء في التحقيق أن إطار العمل الذي تم اكتشافه حديثًا قد وسّع نطاق ضحاياه، ليشمل مؤسسات في وسط وغرب أوكرانيا، إضافة إلى الشركات في منطقة النزاع الروسية الأوكرانية. 

 

تفاصيل حملة CommonMagic 

وربط خبراء كاسبرسكي أيضًا تلك الجهة المجهولة باحتمال تورطها بحملات التهديدات المتقدمة المستمرة السابقة، ومن أبرزها Operation BugDrop وOperation Groundbait (Prikormka).

وكان الخبراء قد نوهوا فى مارس  2023 إلى وجود حملة جديدة من التهديدات المتقدمة المستمرة  في منطقة الصراع الروسي الأوكراني. وتستخدم نفس الحملة التي تحمل اسم CommonMagic، نوعين من برمجيات مثبتة وهما PowerMagic وCommonMagic حتى تتمكن من ممارسة أنشطة التجسس.

 وتنشط الحملة منذ سبتمبر 2021، وتستخدم برنامجًا خبيثًا لم يتم التعرف عليه مسبقًا، بهدف جمع البيانات من الكيانات المستهدفة. ومع أن جهة التهديدات المسؤولة عن هذا الهجوم بقيت مجهولة في ذلك الوقت، واصل خبراء كاسبرسكي تحقيقاتهم، وركزوا على تعقب النشاط غير المعروف بما في ذلك تغطية الحملات المنسيّة، لمساعدتهم في جمع المزيد من الأفكار حول الحملة.

واستخدمت الحملة التي تم الكشف عنها مؤخرًا إطار عمل معياريًا يسمى CloudWizard. ونجح الخبراء  من خلال بحثها في تحديد مجموعة مكونة من 9 وحدات في هذا الإطار، وكان كل واحد منها مسؤولًا عن أنشطة خبيثة مختلفة، مثل جمع الملفات، وتسجيل لوحة المفاتيح، والتقاط صور للشاشة، وتسجيل إدخال الميكروفون، وسرقة كلمات المرور. وتجدر الإشارة في هذا الصدد إلى أن إحدى الوحدات تركز على استخراج البيانات من حسابات البريد الإلكتروني Gmail. 

ومن خلال استخراج ملفات تعريف ارتباط البريد الإلكتروني من قواعد بيانات المتصفح، يمكن لهذه الوحدة الوصول إلى سجلات النشاط، وقوائم جهات الاتصال، وجميع رسائل البريد الإلكتروني المرتبطة بالحسابات المستهدفة وتسريبها. 

وكشف الباحثون أيضًا عن انتشار جغرافي واسع لضحايا الحملة. ومع أن الأهداف السابقة كانت تتركز بشكل أساسي في مناطق دونيتسك ولوهانسك وشبه جزيرة القرم، لوحظ قيامها بتوسعة نطاقها الآن، ليشمل الأفراد والكيانات الدبلوماسية والمنظمات البحثية في غرب ووسط أوكرانيا.

وبعد قيامهم بإجراء بحث مكثف حول CloudWizard، تمكن الخبراء  من تحقيق تقدم كبير في تحديد جهة تهديد معروفة قد تكون مسؤولة عن الحملة. ولاحظ الباحثون أوجه تشابه ملحوظة بين CloudWizard وحملتين موثقتين مسبقًا، وهما عملية Groundbait وعملية BugDrop. وتشمل أوجه التشابه الكود، وأنماط تسمية الملفات والقوائم، والاستضافة من قبل خدمات الاستضافة الأوكرانية، وملفات تعريف الضحايا المشتركة في غرب ووسط أوكرانيا، إضافة إلى منطقة الصراع في أوروبا الشرقية.

وتكشف CloudWizard أيضًا عن أوجه تشابه مع حملة CommonMagic التي تم الإبلاغ عنها مؤخرًا، كما تكون بعض أقسام الكود متطابقة، إلى جانب استخدامها نفس مكتبة التشفير، وتتبع نسقًا مشابهًا لتسمية الملفات، وتشارك مواقع الضحايا داخل منطقة النزاع في أوروبا الشرقية.

وبناءً على هذه النتائج، قام الخبراء  بالتوصل إلى أن الحملات الخبيثة لـ Prikormka وOperation Groundbait وOperation BugDrop وCommonMagic وCloudWizard، قد تُنسب جميعها إلى جهة التهديد النشطة ذاتها. 

الصراع الروسي الأوكراني 

وقال جورجي كوتشرين، الباحث الأمني في الفريق العالمي للبحث والتحليل في كاسبرسكي: "لقد أظهرت الجهة القائمة على التهديدات والمسؤول عن هذه العمليات التزامًا مستمرًا بالتجسس الإلكتروني، كما أنها تعمد إلى تعزيز مجموعة أدواتها بصورة متواصلة، وتستهدف المؤسسات المهمة جدًا لأكثر من خمسة عشر عامًا. ولا تزال العوامل الجيوسياسية حافزًا مهمًا لهجمات التهديدات المتقدمة المستمرة. ونظرًا للتوتر في منطقة الصراع الروسي الأوكراني، نتوقع مواصلة جهة التهديدات عملياتها في المستقبل". 

ونقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم، أسعار الدولار، أسعار اليورو،أسعار العملات، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطال، الدوري المصري، دوري أبطال أوروبا،دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة والسياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.

الجريدة الرسمية