كيف أصبح مكتب التحقيقات الفدرالي إحدى أكثر وحدات القرصنة قيمةً لفلاديمير بوتين

ألقى مسؤولو مكتب التحقيقات الفدرالي يوم الثلاثاء قنبلة كبيرة: بعد قضاء سنوات في مراقبة البرامج الخبيثة الخفية بشكل استثنائي والتي قامت إحدى وحدات القراصنة الأكثر تقدمًا في الكرملين بتثبيتها على مئات أجهزة الكمبيوتر في جميع أنحاء العالم ، قام العملاء بتفريغ حمولة تسببت في تعطيل البرامج الضارة نفسها.

استهدف الاختراق المضاد Snake ، وهو اسم قطعة مترامية الأطراف من البرامج الضارة عبر الأنظمة الأساسية التي كانت تستخدم منذ أكثر من عقدين في التجسس والتخريب. تم تطوير Snake وتشغيله بواسطة Turla ، أحد أكثر APTs تطوراً في العالم ، وهو اختصار للتهديدات المستمرة المتقدمة ، وهو مصطلح يستخدم في مجموعات القرصنة طويلة الأمد التي ترعاها الدول القومية.

النكات الداخلية ، والاستهزاء ، والتنين الأسطوري

إذا كانت القرصنة التي ترعاها الأمة هي لعبة البيسبول ، فلن يكون تورلا مجرد فريق دوري – بل سيكون منافسًا دائمًا في المباراة الفاصلة. يتفق باحثون من عدة شركات أمنية إلى حد كبير على أن تورلا كان وراء انتهاكات وزارة الدفاع الأمريكية في عام 2008 ، ومؤخراً وزارة الخارجية الألمانية والجيش الفرنسي. اشتهرت المجموعة أيضًا بإطلاق برامج خبيثة من نظام Linux الخفي واستخدام روابط الإنترنت المستندة إلى الأقمار الصناعية للحفاظ على عملياتها الخفية.

تعد Snake واحدة من أقوى الأدوات في ترسانة Turla ، وهي سكين سويسري رقمي من نوع ما يعمل على أنظمة التشغيل Windows و macOS و Linux. مكتوبة بلغة البرمجة C ، تأتي Snake على شكل سلسلة معيارية للغاية من القطع التي تم إنشاؤها فوق شبكة ضخمة من نظير إلى نظير تربط سرًا جهاز كمبيوتر مصاب بآخر. قال مكتب التحقيقات الفدرالي ، إن Snake انتشر حتى الآن إلى أكثر من 50 دولة وأصاب أجهزة كمبيوتر تابعة لحكومات أعضاء في الناتو ، وصحفي أمريكي غطى روسيا ، وقطاعات تشمل البنية التحتية الحيوية والاتصالات والتعليم.

تتضمن القائمة المختصرة لإمكانيات Snake بابًا خلفيًا يسمح لـ Turla بتثبيت البرامج الضارة أو إلغاء تثبيتها على أجهزة الكمبيوتر المصابة ، وإرسال الأوامر ، ونقل البيانات التي تهم الكرملين. يستخدم Snake ، وهو جزء من البرامج المصممة باحتراف ، عدة طبقات من أوامر التشفير المخصصة والبيانات المسربة. عبر شبكة P2P ، تنتقل الأوامر والبيانات المشفرة عبر سلسلة من نقاط القفزات المكونة من أجهزة أخرى مصابة بطريقة تجعل من الصعب اكتشاف النشاط أو تتبعه.

تعود أصول الأفعى إلى عام 2003 على الأقل ، مع إنشاء سلف يسمى “Uroburos” ، وهو نوع مختلف من Ouroboros ، وهو رمز قديم يصور ثعبانًا أو تنينًا يأكل ذيله. صورة منخفضة الدقة للفيلسوف وعالم اللاهوت الألماني جاكوب بوهم ، والتي تظهر أدناه ، كانت بمثابة مفتاح لباب خلفي زائدة عن الحاجة لتورلا يتم تثبيته على بعض نقاط النهاية المخترقة.

استمر اسم Uroburos في الإصدارات القديمة من البرامج الضارة ، حتى بعد إعادة تسميته باسم Snake – على سبيل المثال ، في السلسلة “Ur0bUr () sGoTyOu #.” في عام 2014 ، تم استبدال السلسلة بـ “gLASs D1cK”. تشير السلاسل الأخرى إلى النكات الداخلية والمصالح الشخصية للمطورين والتهكم الموجهة للباحثين الأمنيين الذين يحللون أو يعارضون الكود الخاص بهم.