تتزايد هجمات القرصنة الأوكرانية الموجهة ضد شركات صناعة الطيران والقطاعات الدفاعية الروسية، مستخدمة برمجيات خبيثة جديدة مصممة لسرقة التصاميم والجداول الزمنية ورسائل البريد الإلكتروني الداخلية.
تستهدف الحملة كبار المقاولين والموردين الأصغر حجماً، بهدف رصد سلاسل الإنتاج وكشف نقاط الضعف في الصناعة الحربية الروسية. تتسم الأدوات المستخدمة في هذه الحملة بالبساطة، لكنها تستخدم بحذر وتخطيط جيد.
حملة قرصنة متزايدة تستهدف قطاعات الدفاع الروسية
بدأت ظهور البرمجيات الخبيثة المستخدمة في هذه الهجمات في أواخر عام 2024، ضمن موجات تصيد احتيالي موجهة استهدفت مهندسين ومديري مشاريع يعملون على أنظمة الطيران، وأنظمة التوجيه، وروابط الأقمار الصناعية.
تضمنت الرسائل العروض الوظيفية المزيفة، ودعوات المؤتمرات، وتحديثات العقود، مع مرفقات تستغل ثغرات في برامج Office القديمة على أنظمة ويندوز. فور فتح الملف، يتم تحميل حمولة صغيرة تعمل بصمت لتجهيز المرحلة التالية.
اكتشف محللو الأمن في شركة Intrinsec هذه البرمجيات الخبيثة بعد ملاحظة حركة مرور صادرة متكررة من مكتب بعيد لشركة متكاملة في مجال الدفاع نحو خوادم قيادة تعتمد على بنية تحتية قوية.
يشير تحليلهم التقني الكامل إلى أن المهاجمين قاموا بضبط كل حمولة بدقة لتناسب دور الضحية، مضيفين وحدات مخصصة لكشط البريد الإلكتروني، وسرقة المستندات، والتقاط بيانات الاعتماد.
سلسلة العدوى وتنفيذ الأوامر
تعتمد سلسلة العدوى على بساطة التصميم وذكائه. تعمل أداة التحميل الأولى، غالباً ما تكون ملف DLL صغير، في الذاكرة فقط وتقوم بسحب برنامج نصي للمرحلة الثانية من عنوان URL محدد مسبقاً.
يقوم هذا البرنامج النصي بحقن الحمولة النهائية في عملية موثوقة مثل explorer.exe، مما يساعدها على الاندماج مع نشاط المستخدم الطبيعي.
لاحظ باحثو Intrinsec أن الحمولة تستخدم حلقة أوامر مضغوطة للبقاء مرنة. الروتين المعتاد، كما شوهد في تفريغات الذاكرة، يبدو كالتالي:
while (connected) {
cmd = recv();
if (cmd == "exfil") run_exfil();
if (cmd == "shell") open_shell();
}هذا المنطق البسيط يسمح للمشغل بالتبديل بين سرقة البيانات بصمت والتحكم الكامل عن بعد. تم بناء كل مرحلة للحفاظ على أدنى مستوى من الضوضاء على الجهاز.
على الرغم من بساطة تصميمها، تتجنب البرمجيات الخبيثة تقنيات الثبات المزعجة، وتعتمد بدلاً من ذلك على المهام المجدولة وأدوات التحديث المخترقة للعودة بعد عمليات إعادة التشغيل، مع الحفاظ على صعوبة اكتشافها.
تؤثر هذه العمليات على مختبرات الأبحاث، ومناطق الاختبار، وشركات الخدمات اللوجستية التي تدعم أنظمة الطائرات والطائرات بدون طيار والصواريخ. يمكن للبيانات المسروقة أن تكشف عن نقص الأجزاء، وتأخيرات التسليم، وأخطاء البرامج، مما يمنح المخططين الأوكرانيين رؤية أوضح للجاهزية القتالية الروسية.