BusySnake والوجه الجديد للتجسس منخفض الضوضاء
تُظهر مجموعة سُمّيت حديثًا ومرتبطة باستهداف الجهات الحكومية وقطاع الطاقة كيف يمكن دمج سرقة بيانات الاعتماد، والنفقنة، والاستمرارية في خط واحد للوصول.
ليست كل عملية اختراق خطيرة تأتي باستغلال دراماتيكي. أحيانًا يكون الخطر أكثر هدوءًا: أرشيف خبيث، وسارق متخفي، ونفق يبقي الباب مفتوحًا بعد النقر الأول. هذا هو النمط المرتبط الآن بـ Armored Likho، وهو جهة تهديد لم تكن موثقة سابقًا وترتبط بنشاط ضد الوكالات الحكومية وقطاع الطاقة الكهربائية في روسيا والبرازيل وكازاخستان.
تكمن الأهمية التقنية هنا ليس فقط في قائمة الأهداف. تشير مجموعة الأدوات المبلغ عنها إلى مزيج عملي من التسليم عبر التصيد الاحتيالي، وجمع بيانات الاعتماد، والوصول الخفي اللاحق. بالنسبة للمدافعين، فإن هذا المزيج مهم لأن ملفات تعريف الارتباط في المتصفح، وكلمات المرور، ومواد الجلسة يمكن أن تكون كافية لتحويل اختراق نقطة نهاية واحدة إلى إساءة استخدام أوسع للحسابات.
حقائق سريعة
- يُوصف Armored Likho بأنه جهة تهديد لم تكن موثقة سابقًا.
- يرتبط النشاط بالوكالات الحكومية وقطاع الطاقة الكهربائية.
- ذُكرت روسيا والبرازيل وكازاخستان على صلة بالحملة.
- يرتبط BusySnake Stealer بسرقة بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالمتصفح.
- يُعد النفق العكسي عبر SSH والمهام المجدولة جزءًا من الأساليب المبلغ عنها.
ما الذي توحي به الأدوات
يُقدَّم BusySnake على أنه أكثر من مجرد سارق معلومات بسيط. ففي التحليل التقني وراء هذه الحالة، يوصف بأنه حمولة مبنية بلغة Python ومحمية باستخدام PyArmor، وتهدف إلى جمع بيانات Chromium وFirefox، مع التقاط لقطات شاشة وضربات لوحة المفاتيح أيضًا. وهذا مهم لأن المواد المسروقة من الجلسات قد تكون أحيانًا أكثر قيمة من الملفات الخام: فقد تتيح للمشغل العودة لاحقًا من دون إعادة إثارة مطالبات تسجيل دخول واضحة.
إن استخدام النفق العكسي عبر SSH المبلغ عنه يضيف طبقة أخرى. ومن منظور دفاعي، قد يخلق ذلك مسار وصول بديلًا للأوامر والتحكم أو للتمرير عبر وسيط، خاصة حيث تفترض ضوابط المحيط أن الحركة الواردة هي الشاغل الرئيسي. والدرس الأوسع هو أن سارقي المعلومات الحديثة يحاولون بشكل متزايد إبقاء قنوات الاتصال حية، لا مجرد تفريغ بيانات الاعتماد ثم الاختفاء.
تفصيل آخر يستحق المراقبة هو الاستمرارية عبر المهام المجدولة وأسماء Windows عامة النمط. هذا ليس دليلًا على النية بحد ذاته، لكنه نمط مألوف في قياس الأجهزة النهائية ويمكن لفرق الأمن البحث عنه عبر تنبيهات عالية القيمة. وينطبق الأمر نفسه على ملفات EXE وLNK الموزعة داخل أرشيفات، والتي لا تزال مسار تسليم شائعًا في اختراقات Windows.
في بيئات الكهرباء، يتضخم الخطر بسبب البنية. فقد وصفت CISA منذ فترة طويلة القطاع الفرعي للكهرباء بأنه بيئة خطر سيبراني-فيزيائي، وتعمل DOE كوكالة قطاعية خاصة ببنية الكهرباء التحتية. وإذا كان التقسيم بين تكنولوجيا المعلومات ضعيفًا، فقد تصبح بيانات الاعتماد المسروقة أكثر من مجرد مشكلة تقنية، وقد تدعم حركة أعمق نحو الأنظمة الحساسة تشغيليًا.
حتى وقت كتابة هذا التقرير، لا تحدد المعلومات العامة أي منظمات ضحية بعينها ولا تؤكد أثرًا لاحقًا. والأدلة المتاحة تدعم قراءة حذرة للمخاطر، لا ادعاءً بحدوث اختراق كامل.
الخلاصة
إن Armored Likho تذكير بأن أكثر عمليات التسلل فعالية غالبًا ما تُبنى من أجزاء مألوفة: التصيد الاحتيالي، وسرقة المعلومات، والاستمرارية، والوصول الخفي. والجِدّة أقل في أي خدعة منفردة منها في الطريقة التي تُحزم بها تلك الحيل معًا. بالنسبة للمدافعين، يعني ذلك أن الحل لا يقتصر على حظر البرمجيات الخبيثة، بل يشمل أيضًا مراقبة الإشارات الأصغر التي تُظهر أن مهاجمًا يحاول تحويل نقطة نهاية واحدة إلى موطئ قدم دائم.
TECHCROOK
مفتاح أمان مادي: يمكن لمفتاح أمان مادي أن يضيف عاملًا ثانيًا قويًا لتسجيل الدخول، خاصةً للحسابات المعرضة للتصيد الاحتيالي وسرقة الجلسات. إنه خيار عملي للبريد الإلكتروني والحوسبة السحابية وحسابات الإدارة حيث لا ينبغي أن تكفي كلمات المرور المسروقة وحدها.
WIKICROOK
- سارق معلومات: برمجية خبيثة مصممة لجمع بيانات الاعتماد وملفات تعريف الارتباط والرموز وغيرها من البيانات الحساسة من جهاز مصاب.
- نفق SSH عكسي: اتصال يتيح للمشغل البعيد العودة عبر نظام الضحية باستخدام حركة SSH الصادرة.
- الاستمرارية: أساليب تساعد البرمجيات الخبيثة على البقاء نشطة بعد إعادة التشغيل، غالبًا عبر المهام المجدولة أو إدخالات بدء التشغيل.
- التصيد الاحتيالي: تقنية خداع تُغري المستخدمين بفتح ملفات أو روابط أو مطالبات تسجيل دخول خبيثة.
- ملف تعريف ارتباط الجلسة: رمز في المتصفح يمكنه إبقاء المستخدم مسجلًا للدخول وقد يكون مفيدًا في إساءة استخدام الحساب إذا سُرق.




