غوغل تكشف عن سلالات جديدة من برمجيات خبيثة طوّرها قراصنة “كولدرايفر” الروس

كشفت مجموعة تحليل التهديدات (GTIG) التابعة لشركة غوغل عن تصعيد ملحوظ في وتيرة الأنشطة السيبرانية لمجموعة القرصنة الروسية المعروفة باسم “كولدرايفر” (COLDRIVER)، والتي تُعرف أيضًا بأسماء مثل “ستار بليزارد” (Star Blizzard) أو “كاليستو” (Callisto). ويأتي هذا التصعيد بعد تطوير المجموعة لثلاث عائلات جديدة من البرمجيات الخبيثة لتحل محل أداتها السابقة التي تم الكشف عنها.

🚨 تصعيد وتطوير الأسلحة السيبرانية

أفادت غوغل بأن قراصنة “كولدرايفر” قد طوروا ثلاث سلالات جديدة من البرمجيات الخبيثة، وهي:

  1. NOROBOT (نوروبوت)
  2. YESROBOT (يسروبوت)
  3. MAYBEROBOT (مايبروبوت)

يُعتقد أن هذه السلالات الجديدة تم نشرها “بوتيرة أكثر عدوانية من أي حملات سابقة” مرتبطة بالمجموعة، في مؤشر واضح على تسارع وتيرة التطوير والعمليات لدى “كولدرايفر” بعد الكشف عن برمجيتها الخبيثة السابقة “LOSTKEYS” في مايو 2025.

🛡️ التكتيك الجديد: سلسلة العدوى “الروبوتية”

تُشكل هذه البرمجيات الخبيثة الجديدة مجموعة مترابطة ومتصلة عبر سلسلة عدوى معقدة. يبدأ الهجوم عادةً بإغراء خداعي يستخدم صفحة ويب مزيفة أو ما يُعرف باسم إغراء “ClickFix”، والذي يقوم بإسقاط ملف خبيث يُطلق عليه NOROBOT.

  • NOROBOT: هو الحمولة الأولية التي يتم توصيلها، وقد تطورت لإسقاط المرحلة التالية من البرمجيات الخبيثة. في وقت سابق، كانت تحمل معها نسخة “صاخبة” تتطلب تثبيت Python بالكامل، ولكنها تطورت لاحقًا لتصبح أكثر بساطة وتكتيكًا.
  • YESROBOT: كان في البداية عبارة عن باب خلفي (Backdoor) يعتمد على بايثون (Python)، وقد تم التخلي عنه بسرعة (بعد أسبوعين فقط من الملاحظة) لصالح البديل الأكثر مرونة.
  • MAYBEROBOT: هو الباب الخلفي الأكثر تطورًا والمكتوب بلغة PowerShell. وهو يُمثل الحمولة النهائية المستقرة التي تعتمد عليها المجموعة حاليًا، حيث يتيح للمهاجمين تنفيذ الأوامر وتحميل الملفات عن بُعد.

🎯 من هم المستهدفون؟

تُعرف مجموعة “كولدرايفر”، التي يُعتقد أنها مدعومة من أجهزة المخابرات الروسية، باستهدافها رفيع المستوى. وتشمل أهدافها عادةً:

  • المسؤولين الحكوميين والدبلوماسيين في حلف الناتو والحكومات الغربية.
  • المنظمات غير الحكومية (NGOs).
  • مراكز الأبحاث والمفكرين (Think Tanks).
  • الصحفيين والمدافعين عن حقوق الإنسان.

في حين أن المجموعة اشتهرت في الأصل بتقنيات التصيد الاحتيالي (Phishing) لسرقة بيانات الاعتماد، يشير استخدامهم للبرمجيات الخبيثة المخصصة الآن إلى هدف أعمق. وتعتقد غوغل أن “كولدرايفر” تستخدم هذه الأدوات الجديدة لجمع مزيد من المعلومات الاستخباراتية من الأهداف التي ربما تم اختراقها بالفعل عبر التصيد، وذلك عن طريق استخراج البيانات مباشرة من أجهزتهم.

💡 الإجراءات الموصى بها

يُسلط هذا الكشف الضوء على أهمية اليقظة الأمنية، لا سيما بالنسبة للأفراد والمؤسسات التي تقع ضمن قائمة أهداف هذه المجموعة. توصي غوغل (وخبراء الأمن السيبراني):

  • تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات، خاصة البريد الإلكتروني.
  • تحديث الأنظمة والبرامج بانتظام لسد الثغرات الأمنية.
  • تدريب المستخدمين على كيفية التعرف على رسائل التصيد الاحتيالي والمواقع المخادعة.

شاهد أيضاً

🚨 مخاطر الاختراق عبر متصفحات الذكاء الاصطناعي

الخطر الأبرز والأكثر ارتباطاً بتحذير “الهاشتاغ الواحد” يندرج تحت فئة الهجمات المعروفة باسم “حقن الأوامر …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *