كشفت تقارير أمنية حديثة أن مجموعة القرصنة الروسية المدعومة من الدولة والمعروفة باسم Turla قامت بتحويل بابها الخلفي الشهير Kazuar إلى شبكة بوت نت نظير-لنظير (P2P) ذات بنية معيارية، مصممة لتحقيق التخفي وضمان الوصول المستمر إلى الأجهزة المخترقة. هذه الخطوة تعكس تطورًا استراتيجيًا في أدوات الهجوم الروسية، حيث لم يعد الهدف مجرد اختراق مؤقت، بل بناء بنية تحتية خفية طويلة الأمد.
خلفيات المجموعة وأهدافها الاستراتيجية
بحسب وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA)، فإن مجموعة Turla مرتبطة بمركز 16 التابع لجهاز الأمن الفيدرالي الروسي (FSB). وقد رُصد نشاطها تحت أسماء متعددة مثل Secret Blizzard وSnake وVenomous Bear وWaterbug، وهي أسماء تشير إلى حملات مختلفة لكنها تتقاطع في الأسلوب والأهداف.
تستهدف المجموعة بشكل رئيسي القطاعات الحكومية والدبلوماسية والدفاعية في أوروبا وآسيا الوسطى، إضافة إلى استغلال أنظمة سبق أن اخترقتها مجموعات روسية أخرى مثل Aqua Blizzard لدعم الأهداف الاستراتيجية للكرملين.
تطور Kazuar من أداة خلفية إلى شبكة معيارية
منذ ظهوره عام 2017، كان Kazuar بابًا خلفيًا مبنيًا بلغة .NET، يستخدم في جمع المعلومات والتجسس. لكن وفقًا لفريق استخبارات التهديدات في Microsoft، فقد تطور مؤخرًا من إطار “أحادي” إلى منظومة معيارية تتكون من ثلاثة مكونات رئيسية:
- Kernel: يعمل كمنسق مركزي، يصدر المهام إلى وحدات Worker، ويتواصل مع وحدة Bridge، ويجري فحوصات مضادة للتحليل، ويحدد بيئة التشغيل عبر إعدادات خاصة بالاتصال بخوادم التحكم (C2) وإدارة المهام وجمع البيانات.
- Bridge: يعمل كوسيط بين وحدة Kernel وقاعدة التحكم C2، مما يعزز التخفي ويقلل من البصمة المرصودة.
- Worker: مسؤولة عن تسجيل ضغطات المفاتيح، متابعة أحداث ويندوز، جمع معلومات النظام والملفات، والتقاط تفاصيل من واجهة MAPI الخاصة بالبريد.
آليات الاتصال والتنسيق الداخلي
وحدة Kernel تعتمد على ثلاث آليات اتصال داخلية (رسائل ويندوز، Mailslot، والأنابيب المسماة)، إضافة إلى ثلاث طرق للتواصل مع البنية التحتية للمهاجمين (خدمات Exchange Web Services، بروتوكول HTTP، وWebSockets).
يتم انتخاب “قائد” بين وحدات Kernel عبر آلية Mailslot، حيث يُحدد القائد بناءً على مدة التشغيل مقابل عدد الانقطاعات (إعادة تشغيل، تسجيل خروج، إنهاء العملية). القائد وحده يحتفظ بحالة “غير صامتة” ويقوم بتسجيل النشاط وطلب المهام من وحدة Bridge.
إدارة البيانات والمهام
تقوم وحدة Worker بجمع البيانات وتخزينها في مجلد عمل مخصص، حيث تُنظم الملفات حسب الوظيفة: المهام، المخرجات، السجلات، والإعدادات. هذه البنية تسمح بفصل تنفيذ المهام عن التخزين والتهريب، والحفاظ على الحالة التشغيلية حتى بعد إعادة التشغيل، والتنسيق بين الوحدات بشكل غير متزامن مع تقليل التفاعل المباشر مع البنية الخارجية.
يتم تشفير البيانات المجمعة وكتابتها في هذا المجلد قبل إرسالها إلى خوادم التحكم، مما يعزز التخفي ويصعّب عملية الاكتشاف.
دلالات أمنية
هذا التطور في Kazuar يعكس توجهًا متزايدًا لدى مجموعات القرصنة المدعومة من الدولة نحو بناء أدوات أكثر مرونة واستدامة، قادرة على البقاء داخل الأنظمة لفترات طويلة دون إثارة الشبهات. كما أنه يبرز كيف أن المهاجمين لم يعودوا يعتمدون فقط على أدوات النظام الشرعية (LOLBins)، بل يطورون شبكات بوت نت معيارية تدمج التخفي والقدرة على التكيف مباشرة في بنيتها.
