مجموعة القرصنة الروسية "إيه بي تي 28" تستخدم نسخة معدلة من إطار عمل "كوفينانت" للتجسس على أوكرانيا
كشفت تقارير أمنية حديثة عن قيام مجموعة القرصنة المدعومة من الدولة والمعروفة باسم "إيه بي تي 28" بنشر نسخة مخصصة من إطار العمل مفتوح المصدر "كوفينانت" الخاص بما بعد الاختراق، وذلك ضمن حملة تجسسية طويلة الأمد. تُعرف هذه المجموعة أيضاً بأسماء مثل "فانسي بير" و"فورست بليزارد"، وتشتهر بعمليات التجسس الإلكتروني المتطورة ضد أهداف ذات قيمة عالية، بما في ذلك البرلمان الألماني ومنظمات فرنسية وشبكات حكومية أوروبية متنوعة.
وأفاد تقرير جديد من شركة الأمن السيبراني "إيست" بأن المجموعة استخدمت، منذ أبريل 2024، استراتيجية مزدوجة تعتمد على عائلات برمجيات خبيثة أُطلق عليها اسم "بيردشل" ونسخة "كوفينانت" المخصصة، لتنفيذ مراقبة مستدامة تستهدف بشكل خاص العسكريين الأوكرانيين. يكشف التنفيذ التقني للحملة عن درجة عالية من الأمن التشغيلي، حيث استغل المهاجمون ثغرة أمنية في برنامج "مايكروسوفت أوفيس" عبر ملفات وثائق خبيثة لاختراق الهيئات التنفيذية المركزية في أوكرانيا.
بعد الاختراق الأولي، تم تفعيل النهج المزدوج. يعتبر "بيردشل" أداة اختراق حديثة تستخدم بشكل فريد خدمة التخزين السحابي الشرعية "آيس درايف" للاتصال بين الخادم والعميل، مما يُمزج حركة المرور الخبيثة مع نشاط الويب العادي لتجنب الكشف. إلى جانبه، يوفر إطار عمل "كوفينانت" المخصص مجموعة أدوات قوية وغنية بالميزات لما بعد الاختراق، تسمح للمهاجمين بالحفاظ على وصول مستدام والتحرك أفقيًا وسرقة البيانات لفترات طويلة.
تم الكشف عن هذا النشاط من قبل باحثي "إيست" بعد اكتشاف أداة اختراق أخرى باسم "سليم إيجنت" داخل نظام حكومي أوكراني. كانت "سليم إيجنت" تعمل كمسجل ضربات مفاتيح مع قدرات على التقاط البيانات من الحافظة وتصوير الشاشة. يشير الارتباط بين هذه الأدوات إلى عملية تجسس منسقة ومتعددة الجوانب مصممة لجمع intelligence الحساس.
يسلط استخدام أداة مفتوحة المصدر مثل "كوفينانت"، المتاحة مجانًا على "جيت هاب"، الضوء على اتجاه بين مجموعات القرصنة المتقدمة لتكييف وتسليح أدوات أمنية شرعية، مما يقلل وقت التطوير وربما يتجاوز حلول الأمان التي قد تدرج برامج معروفة في القائمة البيضاء. يستمر المشهد الأمني السيبراني الأوسع في مواجهة تهديدات كبيرة من الجهات الفاعلة المدعومة من الدول.
