الروس القراصنة باسم مجموعة(FSB)أوكرانيا تحدد ضباط (Gamaredon)غاماريدون

كشفت وكالة إنفاذ القانون ومكافحة التجسس الأولى في أوكرانيا، يوم الخميس الماضي، عن هويات حقيقية لخمسة أفراد يُزعم تورطهم في هجمات إلكترونية نُسبت إلى مجموعة تجسس إلكتروني تُدعى غاماريدون (Gamaredon)، وربطت الأعضاء بجهاز الأمن الفيدرالي الروسي  (FSB). وقال جهاز الأمن الأوكراني (SSU) ، الذي أطلق على مجموعة المتسللين “مشروع خاص لـ (FSB)، والذي استهدف أوكرانيا على وجه التحديد” ، إن الجناة “هم ضباط من FSB” القرم “وخونة انشقوا إلى العدو أثناء احتلال شبه الجزيرة في 2014. وأسماء الأفراد الخمسة الذين زعمت قوات الأمن الخاصة أنهم جزء من العملية السرية هم سكليانكو أولكسندر ميكولايوفيتش ، وتشرنيخ ميكولا سيرهيوفيتش ، وستارتشينكو أنطون أوليكساندروفيتش ، وميروشنكو أوليكسندر فاليريوفيتش ، وسوشينكو أوليكسانديوفيتش.

منذ إنشائها في عام 2013، كانت مجموعة غاماريدون (Gamaredon) المرتبطة بروسيا (المعروفة أيضًا باسم Primitive Bear أو Armageddon أو Winterflounder أو Iron Tilden) مسؤولة عن عدد من حملات التصيد الاحتيالي الخبيثة، التي تستهدف بشكل أساسي المؤسسات الأوكرانية، بهدف جمع معلومات سرية من اختراق أنظمة ويندوز لتحقيق مكاسب جيوسياسية.

يُعتقد أن الجهة المهددة قد نفذت ما لا يقل عن 5000 هجوم إلكتروني ضد السلطات العامة والبنية التحتية الحيوية الموجودة في البلاد، وحاولت إصابة أكثر من 1500 نظام كمبيوتر حكومي، مع توجيه معظم الهجمات إلى وكالات الأمن والدفاع وإنفاذ القانون للحصول عليها.

وأشارت شركة الأمن السيبراني السلوفاكية (ESET) في تحليل نُشر في يونيو 2020: “على عكس مجموعات (APT) الأخرى، يبدو أن مجموعة غاماريدون لا تبذل أي جهد في محاولة البقاء تحت الرادار”. الثنائيات التي يمكن أن تكون أكثر سرية، يبدو أن التركيز الرئيسي لهذه المجموعة هو الانتشار إلى أقصى حد وبأسرع ما يمكن في شبكة الهدف أثناء محاولة اختراق البيانات.

إلى جانب اعتمادها الشديد على تكتيكات الهندسة الاجتماعية كمتجه للتطفل، من المعروف أن غاماريدون قد استثمرت في مجموعة من الأدوات للتنقل من خلال دفاعات المنظمات التي تم ترميزها في مجموعة متنوعة من لغات البرمجة مثل في بي سكريبت (VBScript) وفي بي إيه سكريبت (VBA Script) وسي (C #) وسي بلس بلس (C ++)، بالإضافة إلى استخدام قذائف أوامر سي إم دي (CMD) وباورشل (PowerShell) وإن إي تي (NET). وأشارت الوكالة في تقرير فني إلى أن “أنشطة المجموعة تتسم بالتطفل والجرأة”.

من بين ترسانتها من البرامج الضارة، أداة إدارة عن بعد معيارية تسمى (Pterodo) تُعرف أيضًا باسم (Pteranodon) والتي تأتي مع إمكانات الوصول عن بُعد، وتسجيل ضغطات المفاتيح، والقدرة على التقاط لقطات الشاشة، والوصول إلى الميكروفون، وكذلك تنزيل وحدات إضافية من خادم بعيد. كما يمكن استخدام أداة سرقة الملفات المستندة إلى إن إي تي (NET) والتي تم تصميمها لتجميع الملفات ذات الامتدادات التالية: doc ، docx،xls ، rtf ، odt ، txt ، jpg ، و.pdf وتتعلق الأداة الثالثة بحمولة ضارة تم تصميمها لتوزيع البرامج الضارة من خلال وسائط قابلة للإزالة متصلة، بالإضافة إلى جمع البيانات المخزنة في تلك الأجهزة وسحبها.

وقالت الوكالة: “إن (SSU) تتخذ باستمرار خطوات لاحتواء وتحييد العدوان الإلكتروني الروسي ضد أوكرانيا”. “تأسست كوحدة لما يسمى” مكتب (FSB) الروسي في جمهورية القرم ومدينة سيفاستوبول”، عملت هذه المجموعة من الأفراد كموقع استيطاني […] من عام 2014 مهددين عمدًا الأداء السليم لأجهزة الدولة والحرجة البنية التحتية لأوكرانيا.

المصدر:  (thehackernews.com)