في تطور جديد في عالم الأمن السيبراني، قامت مجموعة تُعرف باسم “قراصنة الفضاء” بشن حملة خبيثة تستهدف مؤسسات تكنولوجيا المعلومات في روسيا باستخدام برمجية خبيثة غير موثقة سابقًا تُسمى “لاكيسرايك إيجنت” (LuckyStrike Agent). تم اكتشاف هذا النشاط في نوفمبر 2024 من قبل “سولار”، ذراع الأمن السيبراني لشركة الاتصالات الروسية المملوكة للدولة “روستليكوم”، التي تتبع هذا النشاط تحت اسم “إيروديت موجواي” (Erudite Mogwai).

تحليل وتفاصيل الهجوم السيبراني

تتميز هذه الهجمات باستخدام أدوات أخرى مثل برمجية “ديد رات” (Deed RAT) والتي تُعرف أيضًا باسم “شادو باد لايت” (ShadowPad Light)، بالإضافة إلى نسخة مخصصة من أداة وكيل تُدعى “ستواواي” (Stowaway)، التي تم استخدامها سابقًا من قبل مجموعات قرصنة مرتبطة بالصين. وفقًا لباحثي “سولار”، تُعد “إيروديت موجواي” واحدة من مجموعات التهديد المستمر المتقدمة (APT) المتخصصة في سرقة المعلومات السرية والتجسس.

منذ عام 2017 على الأقل، قامت المجموعة بمهاجمة الوكالات الحكومية، وإدارات تكنولوجيا المعلومات لمختلف المنظمات، وكذلك الشركات المرتبطة بالصناعات التقنية العالية مثل الطيران والطاقة الكهربائية. أول توثيق علني للمجموعة كان في عام 2022 من قبل “تقنيات إيجابية” Positive Technologies، حيث تم وصف استخدامها الحصري لبرمجية “ديد رات”.

الآثار الأمنية والتحديات

في إحدى الهجمات التي استهدفت قطاع حكومي، اكتشفت “سولار” أن المهاجمين قاموا بنشر أدوات متعددة لتسهيل الاستطلاع، بالإضافة إلى إسقاط برمجية “لاكيسرايك إيجنت”، وهي أداة خلفية متعددة الوظائف تعتمد على .NET وتستخدم “مايكروسوفت ون درايف” (Microsoft OneDrive) كقناة للتحكم والسيطرة (C2).

أوضح الباحثون أن المهاجمين حصلوا على الوصول إلى البنية التحتية من خلال اختراق خدمة ويب متاحة للجمهور في موعد لا يتجاوز مارس 2023، ومن ثم بدأوا في البحث عن “الثمار السهلة” في البنية التحتية. على مدى 19 شهرًا، انتشر المهاجمون ببطء عبر أنظمة العميل حتى وصلوا إلى أجزاء الشبكة المتصلة بالمراقبة في نوفمبر 2024.

توجهات الأمن السيبراني وآراء الخبراء

من الجدير بالذكر أيضًا استخدام نسخة معدلة من “ستواواي” للاحتفاظ بوظيفة الوكيل فقط، إلى جانب استخدام خوارزمية الضغط “LZ4″، وخوارزمية التشفير “XXTEA”، وإضافة دعم لبروتوكول النقل “QUIC”.

بدأت “إيروديت موجواي” رحلتها في تعديل هذه الأداة عن طريق تقليل الوظائف التي لم تكن بحاجة إليها، واستمرت بتعديلات طفيفة مثل إعادة تسمية الوظائف وتغيير أحجام الهياكل (ربما لإسقاط التوقيعات الحالية للكشف). في الوقت الحالي، يمكن اعتبار النسخة المستخدمة من “ستواواي” من قبل هذه المجموعة بمثابة تفرع كامل.

السياق التاريخي والمعايير الصناعية

هذه الهجمات تبرز الحاجة الملحة لتعزيز معايير الأمن السيبراني مثل NIST وGDPR، وتطبيقها بشكل صارم في قطاعات حساسة مثل تكنولوجيا المعلومات والبنية التحتية الحيوية.

هل تعتقد أن المؤسسات في القطاعات الحيوية تتخذ التدابير الكافية لحماية بياناتها وعملياتها من هؤلاء المهاجمين المتطورين؟ شاركنا رأيك وتعليقاتك على تويتر وفيسبوك.