logo
ENع
'LostKeys'.. برنامج تجسس روسي جديد يستهدف حكومات وصحفيين في الغرب

'LostKeys'.. برنامج تجسس روسي جديد يستهدف حكومات وصحفيين في الغرب

رؤيا نيوز١١-٠٥-٢٠٢٥

كشفت شركة غوغل عن أداة تجسس سيبرانية جديدة تُعرف باسم 'LostKeys'، قالت إنها تُستخدم حاليًا من قبل مجموعة قرصنة روسية تُعرف باسم COLDRIVER.
ووفقًا لتقرير فريق استخبارات التهديدات التابع لـ 'غوغل' (GTIG)، فقد تم رصد البرنامج لأول مرة في يناير الماضي، حيث جرى توظيفه في عمليات تجسس إلكترونية معقدة تستهدف حكومات غربية وصحفيين ومراكز أبحاث ومنظمات غير حكومية، بحسب تقرير نشره موقع 'androidheadlines' اطلعت عليه 'العربية Business'.
تستخدم مجموعة COLDRIVER برنامج LostKeys ضمن هجمات رقمية تُعرف باسم 'ClickFix'، تعتمد بشكل كبير على الهندسة الاجتماعية لخداع الضحايا وتشغيل نصوص PowerShell مشبوهة، مما يفتح المجال أمام تحميل برامج خبيثة إضافية.
ويُوصف 'LostKeys' بأنه 'مكنسة رقمية' تستخرج ملفات بعينها من أجهزة الضحايا، بما في ذلك مستندات وبيانات مكتوبة بلغة Visual Basic Script، ثم ترسلها إلى المهاجمين.
كما أنه يجمع معلومات النظام وينفذ أوامر عن بُعد.
مجموعة COLDRIVER، المعروفة أيضًا باسم Star Blizzard وCallisto Group، تنشط منذ عام 2017، وتُتهم بتنفيذ عمليات قرصنة تستهدف وزارات الدفاع ومراكز حكومية ومنظمات غير ربحية في الغرب.
وسبق أن أكدت أجهزة استخبارات غربية، من ضمنها المملكة المتحدة وأعضاء تحالف 'العيون الخمس'، أن المجموعة تعمل بتوجيه مباشر من جهاز الأمن الفيدرالي الروسي (FSB).
عقوبات أميركية ومكافأة بملايين الدولارات
في ضوء تصاعد نشاط المجموعة، فرضت وزارة الخارجية الأميركية عقوبات على عنصرين من أفراد COLDRIVER، أحدهما يُعتقد أنه ضابط في جهاز FSB.
كما أعلنت عن مكافأة تصل إلى 10 ملايين دولار لمن يُقدّم معلومات تساهم في تحديد هوية باقي عناصر المجموعة أو توقيفهم.



هاشتاغز

Orange background

جرب ميزات الذكاء الاصطناعي لدينا

اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:

التعليقات

لا يوجد تعليقات بعد...

أخبار ذات صلة

إحباط محاولة تجسس 'إيرانية' على وزير الدفاع الإسرائيلي
إحباط محاولة تجسس 'إيرانية' على وزير الدفاع الإسرائيلي

رؤيا نيوز

timeمنذ 2 ساعات

  • رؤيا نيوز

إحباط محاولة تجسس 'إيرانية' على وزير الدفاع الإسرائيلي

أعلن جهاز الأمن العام الإسرائيلي 'الشاباك' اعتقال شابين من بلدة نيشر بشبهة التجسس لصالح إيران، بعد محاولتهما مراقبة منزل وزير الدفاع يسرائيل كاتس وتركيب كاميرات في محيطه. وذكرت صحيفة معاريف أن أحد المعتقلين تواصل مع جهات إيرانية عبر الإنترنت ونفذ مهامًا مقابل مبالغ مالية بسيطة، بينها نقل طرد مشبوه يُعتقد أنه كان يحتوي على متفجرات. التحقيق كشف عن محاولات سابقة لتنفيذ عمليات مشابهة، فيما قالت الأجهزة الأمنية إن هذه الحادثة تُضاف إلى 20 حالة تجسس تم إحباطها منذ بداية الحرب. وقال وزير الدفاع الإسرائيلي، يسرائيل كاتس، إن إيران جندت إسرائيليين اثنين 'لإيذائه'، في إشارة إلى الاعتقالات التي جرت في أبريل الماضي. وأضاف كاتس، في بيان، 'لن يثنيني أي تهديد، وسأواصل أداء واجبي'. واعتقلت إسرائيل عدة أشخاص متهمين بالتجسس لصالح إيران منذ بدء حرب غزة.

هاكر يخترق تطبيق TM SGNL في 20 دقيقة ويكشف بيانات حساسة
هاكر يخترق تطبيق TM SGNL في 20 دقيقة ويكشف بيانات حساسة

الغد

timeمنذ 2 ساعات

  • الغد

هاكر يخترق تطبيق TM SGNL في 20 دقيقة ويكشف بيانات حساسة

في مشهد يكشف هشاشة البنى الأمنية الرقمية، تمكن أحد القراصنة من اختراق النسخة المعدّلة من تطبيق المراسلة المشفّرة Signal، المعروف باسم TM SGNL، خلال أقل من عشرين دقيقة، مستغلاً ثغرات بدائية في التشفير والإعدادات البرمجية. تفاصيل الهجوم التي كشفها موقع Wired تسلط الضوء على سلسلة من الإخفاقات التقنية في إدارة النطاقات الآمنة وخوادم الأرشفة، ما أدى إلى تسريب بيانات حساسة شملت محادثات مؤسسية غير مشفرة وكلمات مرور لموظفين في جهات حكومية أميركية. اضافة اعلان وتمكّن أحد القراصنة من الوصول إلى خوادم تطبيق "TM SGNL"، النسخة المعدّلة من تطبيق "سيجنال" (Signal)، خلال أقل من 20 دقيقة، وذلك في عملية استندت إلى استغلال بسيط لثغرة صغيرة، لكنها بالغة التأثير، إذ كشف عن تركيبات برمجية قديمة وإعدادات غير مؤمنة على الإطلاق. بدأ المخترق رحلته بالوصول إلى لوحة التحكم الخاصة بالنطاق الآمن للتطبيق عبر العنوان: وفقاً لتصريحاته لموقع Wired. تشفير عتيق بمجرد الدخول، لاحظ المخترق أن النظام يعتمد على تشفير كلمات المرور باستخدام خوارزمية MD5 على واجهة المستخدم، وهي خوارزمية قديمة وضعيفة لم تعد تُستخدم في نظم التشفير الحديثة نظراً لقابليتها للاختراق. الأخطر من ذلك أن التشفير كان يتم على واجهة المستخدم فقط، ما يجعل قيمة "الهاش" الناتجة تُستخدم عملياً ككلمة مرور، وبالتالي يسهل نسخها واستخدامها للدخول مباشرة. وبعد أن تبين للمخترق ضعف أساليب الحماية، شكّ في أن بنية النظام تعتمد على تقنيات قديمة، وبالفعل وجد أن TeleMessage تستخدم JSP، وهي تقنية لإنشاء تطبيقات الويب ترجع إلى أوائل العقد الأول من الألفية الحالية، ما زاد من احتمالية وجود ملفات حساسة مكشوفة للعامة على الإنترنت. للبحث عن الثغرة، استخدم أداة feroxbuster، وهي أداة تستهدف اكتشاف الموارد العامة المتاحة على مواقع الويب، ووجه عمليات المسح إلى نطاقين تابعين لـ TeleMessage هما: و إذ بدأ الاختراق الحقيقي عندما اكتشف رابطاً على النطاق الثاني ينتهي بـ/heapdump. عند فتح هذا الرابط، قدّم الخادم ملفاً كبيراً يُعرف باسم heap dump، وهو ملف يحتوي على لقطة من الذاكرة المؤقتة للخادم (RAM) وقت تحميل الصفحة، بحجم وصل إلى نحو 150 ميجابايت. هذه الملفات غالباً ما تحتوي على أجسام الطلبات HTTP، التي قد تتضمن بيانات اعتماد المستخدمين، وباستخدام كلمة مفتاحية بسيطة مثل password، وجد المخترق أسماء مستخدمين وكلمات مرور بشكل نصي ضريح غير مشفر. بيانات حساسة وعند استخدام واحدة من هذه البيانات لتسجيل الدخول إلى لوحة الإدارة، تبيّن أنه اخترق حساباً لموظف تابع لوكالة الجمارك وحماية الحدود الأميركية، التي أكدت لاحقاً استخدامها لخدمة TeleMessage. ولم تقتصر البيانات المكشوفة على بيانات الدخول، بل شملت أيضاً سجلات محادثات داخلية غير مشفرة بصيغة نصية، من بينها محادثات خاصة بمنصة Coinbase الشهيرة لتداول العملات الرقمية. ورغم تأكيد Coinbase عدم وجود دليل على تعرض بيانات العملاء للخطر، فإن مجرد كشف هذه المحادثات يطرح تساؤلات كبرى بشأن البنية الأمنية للتطبيق. تحليل الشيفرة المصدرية لتطبيق TM SGNL كشف لاحقاً أن التطبيق يرسل الرسائل بصيغة غير مشفرة إلى خادم أرشفة خاص رغم الترويج له بأنه يوفر تشفيراً "من طرف إلى طرف" يشمل حتى عملية الأرشفة المؤسسية. الخادم كان مبنياً باستخدام إطار Spring Boot بلغة Java، ويضم ميزة تُعرف بـ Actuator، تُستخدم لمراقبة التطبيقات، وتتضمن نقطة الوصول /heapdump. هذه النقطة كانت مكشوفة للجميع، ما سمح بتنزيل بيانات حساسة من الخادم دون الحاجة إلى مصادقة للتوثيق. وفقًا لشركة Wiz المتخصصة في الأمن السحابي، فإن نقطة /heapdump المصنفة ضمن أكثر نقاط الضعف شيوعاً، كانت حتى عام 2017 مفعّلة بشكل افتراضي، قبل أن يتم حصر الوصول إلى نقاط آمنة فقط مثل /health و/info. غير أن مطوري TeleMessage على ما يبدو إما استخدموا إصداراً قديماً من Spring Boot، أو قاموا يدوياًَ بفتح نقطة الوصول هذه، ما تسبب في هذا الاختراق واسع النطاق. وكانت هذه التفاصيل قد ظهرت بعد أيام من تداول صورة لمايك والتز، مستشار الأمن القومي السابق للرئيس ترمب، وهو يستخدم TM SGNL خلال اجتماع رسمي. وبعد الحادثة، أبلغ مصدر مجهول الصحفي ميكا لي أنه تمكن من اختراق التطبيق بسهولة، ما دفع TeleMessage لاحقاً إلى تعليق خدماتها مؤقتاً وسط صمت رسمي من الشركة الأم "Smarsh"، نقلا عن بلومبرغ.

غوغل تحذر.. توقفوا عن استخدام كلمات المرور على "جي ميل"
غوغل تحذر.. توقفوا عن استخدام كلمات المرور على "جي ميل"

الوكيل

timeمنذ 3 ساعات

  • الوكيل

غوغل تحذر.. توقفوا عن استخدام كلمات المرور على "جي ميل"

الوكيل الإخباري- أكدت غوغل تعرض مستخدمي Gmail لهجوم تصيّد متقدّم يستغل ثغرة في بنيتها، حيث نجح المهاجمون في إرسال رسائل خبيثة من عنوان رسمي مثل [email protected]. اضافة اعلان أبرز النقاط: الهجوم لا يحتاج لتفاعل المستخدم (Zero-Click). يؤدي إلى سرقة البيانات ونشر برمجيات خبيثة. غوغل أطلقت إجراءات حماية وستنشرها قريبًا. نصائح للحماية: فعّل المصادقة الثنائية (2FA). استخدم مفتاح المرور (Passkey) بدلًا من الاعتماد على كلمة المرور فقط. تجنب الشبكات العامة. لا تفتح رسائل مشبوهة حتى لو بدت رسمية. غوغل تؤكد أن كلمات المرور وحدها لم تعد كافية لحماية حسابك. أرم نيوز

حمل التطبيق

حمّل التطبيق الآن وابدأ باستخدامه الآن

مستعد لاستكشاف الأخبار والأحداث العالمية؟ حمّل التطبيق الآن من متجر التطبيقات المفضل لديك وابدأ رحلتك لاكتشاف ما يجري حولك.
app-storeplay-store