تعد التهديدات السيبرانية المتطورة مثل “روبن راسبيري” (Raspberry Robin) تذكيرًا قويًا بأهمية مواكبة التغيرات السريعة في مجال الأمن السيبراني. يشير تحقيق جديد إلى اكتشاف ما يقرب من 200 نطاق خاص بالقيادة والسيطرة (C2) مرتبط بهذا البرنامج الخبيث، مما يعكس تطورًا مستمرًا في تكتيكات الهجوم.

تحليل تفصيلي وسياق تاريخي

ظهر روبن راسبيري في عام 2019، وهو معروف أيضًا بأسماء أخرى مثل “روشتياك” أو “ستورم 0856”. يُعتبر هذا البرنامج الخبيث لاعبًا رئيسيًا في توفير خدمات الوصول الأولي (IAB) لمجموعات إجرامية عديدة، كثير منها مرتبط بروسيا. منذ ظهوره، أصبح هذا البرنامج قناة لنقل أنواع متعددة من البرمجيات الخبيثة مثل “سوكغوليش” و”دريدكس” و”لوكبيت” و”آيسد آي دي” و”بامبل بي” و”ترو بوت”.

تمت تسميته أيضًا بالديدان الخاصة بأجهزة “كيو ناب” (QNAP worm) نظرًا لاستخدام الأجهزة المخترقة لجلب الحمولة الخبيثة. على مر السنين، طورت سلاسل هجوم روبن راسبيري أساليب توزيع جديدة تتضمن تنزيله عبر الأرشيفات وملفات السكربت الخاصة بـ”ويندوز” المرسلة كمرفقات عبر خدمة “ديسكورد” (Discord). بالإضافة إلى ذلك، استغلوا الثغرات الأمنية المكتشفة حديثًا لرفع الامتيازات المحلية قبل الكشف عنها علنًا.

التداعيات الأمنية والمخاطر المحتملة

تشير الأدلة إلى أن روبن راسبيري قد تم عرضه كمزود (PPI) لبوتنت لتسليم البرمجيات الخبيثة لمرحلته التالية. علاوة على ذلك، تضمنت الإصابة ببرنامج روبن راسبيري آلية انتشار تعتمد على أجهزة “USB” المخترقة التي تحتوي على ملفات (LNK) تبدو كأنها مجلدات لتفعيل نشر البرمجيات الخبيثة.

كشفت الحكومة الأمريكية أن الجهات الفاعلة في الدولة الروسية، التي تُعرف باسم “كاديت بليزارد”، ربما استخدمت روبن راسبيري كوسيط للوصول الأولي. وفقًا لتحليل حديث أجرته شركة “سايلنت بوش” مع فريق “سيمرو”، تم العثور على عنوان “IP” واحد يستخدم كمرحِّل بيانات لربط جميع الأجهزة المخترقة، مما أدى في النهاية إلى اكتشاف أكثر من 180 نطاق C2 فريد.

رؤى الخبراء والاتجاهات السيبرانية الحديثة

تُظهر التحقيقات أن نطاقات C2 الخاصة بروبن راسبيري قصيرة وسريعة التغيير بين الأجهزة المخترقة باستخدام تقنية تُعرف باسم “فاست فلوكس” لتجنب الإزالة. تشمل بعض نطاقات المستوى الأعلى (TLDs) المتعلقة بروبن راسبيري: .wf، .pm، .re، .nz، .eu، .gy، .tw، و.cx، مع تسجيل النطاقات بواسطة مسجلين متخصصين مثل “ساريك أو” و”1API GmbH”.

إن استخدام روبن راسبيري من قبل الجهات الحكومية الروسية يتماشى مع تاريخه في العمل مع جهات تهديد خطيرة أخرى مرتبطة بروسيا، بما في ذلك “لوكبيت” و”دريدكس” و”سوكغوليش” و”إيفيل كورب”.

نقاش وتفاعل

هل تعتقد أن التقنيات الجديدة مثل “فاست فلوكس” تجعل من الصعب على الجهات الأمنية السيطرة على مثل هذه التهديدات؟ شاركنا رأيك على تويتر وفيسبوك.