مجموعة القرصنة الروسية APT28 تستهدف الجيش الأوكراني بحملة تجسس مستمرة باستخدام برمجيات خبيثة متطورة
كشفت تقارير أمنية حديثة عن قيام مجموعة التهديد المستمر المتقدمة الممولة من الدولة الروسية والمعروفة باسم APT28 بحملة مراقبة طويلة الأمد تستهدف أفراد الجيش الأوكراني. وأفادت شركة الأمن السيبراني إيسيت بأن المجموعة استخدمت برمجيتين خبيثتين رئيسيتين هما BEARDSHELL و COVENANT منذ أبريل 2024 على الأقل. تُعزى هذه المجموعة، التي تعمل تحت أسماء مستعارة عديدة مثل Fancy Bear، إلى وحدة 26165 في وكالة الاستخبارات العسكرية الروسية GRU.
ويشمل ترسانة البرمجيات الخبيثة المستخدمة في هذه الحملة أداة تجسس قوية تحمل الاسم الرمزي SLIMAGENT. تتمكن هذه الأداة من تسجيل ضغطات المفاتيح وأخذ لقطات للشاشة وسحب البيانات من الحافظة. كشفت التحليلات أن SLIMAGENT تطورت بشكل مباشر من البرمجية الخبيثة المعروفة سابقاً باسم XAgent والتي استخدمتها المجموعة على نطاق واسع خلال العقد الماضي.
يكشف التحليل الفني لأداة SLIMAGENT تصميماً متعمداً للتخفي والوظائف المتقدمة. حيث تقوم البرمجية بإصدار سجلات التجسس التي تجمعها بتنسيق HTML باستخدام نظام ألوان مميز يطابق تماماً ذلك المستخدم في البرمجية الخبيثة الأقدم XAgent. هذا التشكل الفني يوفر رابطاً دامغاً يربط بين أدوات المجموعة الحالية وتلك التاريخية.
تم نشر أداة SLIMAGENT عبر الاستفادة من الباب الخلفي BEARDSHELL المصمم لتنفيذ أوامر PowerShell على الأنظمة المخترقة. يوفر هذا الآلية مرنة وقوية للتحكم عن بعد ونقل الأوامر، مما يمكن المهاجمين من الحفاظ على وصول مستدام للأنظمة المستهدفة وجمع المعلومات الحساسة.
تُظهر الاستمرارية في استخدام هذه الأدوات، التي تعود جذور بعضها إلى ما يقرب من عقد من الزمن، التزام مجموعة APT28 بتطوير تحديث قدراتها السيبرانية الهجومية. تؤكد هذه الحملة التركيز المستمر للمجموعة على الأهداف الأوكرانية ضمن الصراع الدائر، مستفيدةً من أدوات متطورة لتحقيق أهدافها الاستخباراتية.
