شارك

مجموعة Turla تحوّل برمجية Kazuar إلى بوتنت P2P متطور للتجسس

فريق جلتش17 مايو0 مشاهدة4 دقائق
شارك
مجموعة Turla تحوّل برمجية Kazuar إلى بوتنت P2P متطور للتجسس

"مجموعة Turla تحوّل برمجية Kazuar إلى بوتنت P2P متطور للتجسس"

مقدمة تحليلية

في تطور نوعي يعكس تعاظم قدرات التهديدات السيبرانية المتقدمة، كشف فريق Microsoft Threat Intelligence في مايو 2026 عن تحول جذري في ترسانة مجموعة Turla الروسية (المعروفة أيضاً باسم Secret Blizzard). المجموعة المرتبطة بالمركز 16 في جهاز الأمن الفيدرالي الروسي (FSB)، قامت بإعادة هندسة برمجية Kazuar الخبيثة بالكامل، محولة إياها من مجرد باب خلفي (Backdoor) تقليدي إلى نظام بوتنت P2P (ند للند) مجزأ ومبني على بنية برمجية معقدة تهدف إلى ضمان الاستمرارية القصوى داخل الأنظمة المخترقة.

هذا التحول لا يمثل مجرد تحديث تقني، بل هو تغيير استراتيجي في كيفية إدارة عمليات التجسس طويلة الأمد. من خلال اعتماد بنية الوحدات المستقلة (Modular Architecture)، تسعى Turla إلى تقليل البصمة الرقمية لكل وحدة على حدة، مما يجعل اكتشاف النشاط الخبيث باستخدام الأدوات الأمنية التقليدية أمراً في غاية الصعوبة. بدلاً من الاعتماد على ملف برمي واحد ضخم، يتم توزيع المهام على وحدات متخصصة تتواصل فيما بينها عبر قنوات مشفرة داخلية، وهو ما يمنح المهاجمين مرونة فائقة في تخصيص الهجمات بناءً على طبيعة الهدف.

التحليل التقني

تعتمد برمجية Kazuar في نسختها الجديدة على إطار عمل .NET متطور، وقد تم تقسيمها إلى ثلاثة أنواع رئيسية من الوحدات (Modules)، يعمل كل منها في سياق محدد لضمان كفاءة العمليات:

  • وحدة Kernel (النواة): تعمل كمنسق مركزي للبوتنت. تتولى هذه الوحدة إصدار المهام لوحدات Worker، وإدارة التواصل مع وحدة Bridge، والحفاظ على سجلات النشاط والبيانات المجموعة. كما تنفذ فحوصات متطورة لمكافحة التحليل (Anti-analysis) وكشف بيئات Sandbox قبل تفعيل المهام الحساسة.
  • وحدة Bridge (الجسر): تلعب دور الوكيل (Proxy) بين وحدة Kernel القائدة وخادم القيادة والسيطرة (C2). هذا التصميم يعزل النواة عن التواصل المباشر مع البنية التحتية الخارجية، مما يقلل من احتمالات تتبع مصدر الهجوم.
  • وحدة Worker (العامل): هي الأداة التنفيذية المسؤولة عن جمع المعلومات. تشمل وظائفها تسجيل ضربات المفاتيح (Keylogging)، واعتراض أحداث Windows، وجمع معلومات النظام، وقوائم الملفات، وتفاصيل واجهة برمجة تطبيقات المراسلة (MAPI) لسرقة محتوى البريد الإلكتروني.

آلية انتخاب القائد (Leader Election)

من أكثر الجوانب التقنية إثارة في Kazuar هي قدرته على تنظيم نفسه ذاتياً. تستخدم وحدات Kernel آلية 'الانتخاب' عبر بروتوكول Mailslot في Windows لاختيار وحدة قائدة واحدة (Kernel Leader). يتم الاختيار بناءً على معادلة رياضية تحسب 'مدة التشغيل' (Uptime) مقابل عدد 'المقاطعات' (Reboots/Logoffs). بمجرد انتخاب القائد، تدخل بقية الوحدات في وضع الصمت (SILENT)، حيث يتوقف نشاطها الخبيث تماماً، ولا يقوم سوى القائد بالتواصل مع وحدة Bridge لطلب مهام جديدة، مما يقلل بشكل كبير من حركة مرور البيانات المشبوهة داخل الشبكة.

قنوات الاتصال والتخفي

تدعم وحدة Kernel ثلاثة ميكانيكيات للتواصل الداخلي (Windows Messaging، Mailslot، Named Pipes) وثلاث طرق مختلفة للاتصال بالبنية التحتية للمهاجمين تشمل Exchange Web Services (EWS)، وHTTP التقليدي، وWebSockets للتواصل الحي. كما تستخدم البرمجية مجلداً سرياً للعمل (Working Directory) يعمل كمنطقة تخزين مركزية مشفرة ومنظمة، حيث يتم فصل سجلات المهام عن نواتج الجمع وتجهيزها للإرسال بشكل غير متزامن، مما يمنع فقدان البيانات في حالة إعادة تشغيل النظام.

السياق وتأثير السوق

تاريخياً، ارتبطت مجموعة Turla بعمليات تجسس سيبراني استهدفت القطاعات الحكومية، الدبلوماسية، والدفاعية في أوروبا وآسيا الوسطى. المثير للاهتمام في التقارير الأخيرة هو التعاون أو استغلال الثغرات التي فتحتها مجموعات روسية أخرى مثل Aqua Blizzard (المعروفة بـ Gamaredon). يشير هذا التداخل إلى تنسيق رفيع المستوى بين مختلف أجهزة الاستخبارات الروسية لتحقيق أهداف الكرملين الاستراتيجية.

سوقياً، يفرض هذا التطور ضغوطاً هائلة على مزودي الحلول الأمنية (EDR وXDR). بينما كانت الصناعة تركز على رصد تقنيات 'Living-off-the-Land' (استخدام أدوات النظام الأصلية للهجوم)، تبرز Kazuar كدليل على أن الجهات الفاعلة الحكومية لا تزال تستثمر بقوة في هندسة برمجيات خبيثة مخصصة (Custom-built) تتميز بالمرونة العالية والقدرة على البقاء في الخفاء لسنوات.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن تحول Kazuar إلى بوتنت P2P مجزأ هو إعلان رسمي عن نهاية عصر البرمجيات الخبيثة المتجانسة (Monolithic Malware). إن قدرة البرمجية على 'الانتخاب الذاتي' وتنسيق الأدوار بين الوحدات تجعل من عملية 'صيد التهديدات' (Threat Hunting) تحدياً استخباراتياً أكثر منه تقنياً.

أبرز المخاوف الأمنية تكمن في استخدام قنوات EWS (Exchange Web Services) للتواصل؛ فمن خلال استغلال خدمات البريد المؤسسي، تضيع حركة مرور بيانات البوتنت داخل ضجيج البيانات القانونية للشركات، مما يجعل التحليلات القائمة على سلوك الشبكة غير فعالة إلى حد كبير. نتوقع أن تحذو مجموعات تهديد أخرى حذو Turla في تبني معمارية الوحدات (Modular Architecture)، مما سيجبر المؤسسات على التحول من مجرد مراقبة 'النقاط الطرفية' إلى تحليل عميق للعلاقات بين العمليات (Inter-process communication) للكشف عن هذه الأنماط الموزعة.

" : "طورت مجموعة Turla الروسية برمجية Kazuar لتصبح شبكة بوتنت P2P مجزأة تعزز التخفي والوصول المستمر. يكشف هذا التحول عن استراتيجيات متقدمة للتجسس السيبراني عبر معمارية الوحدات المستقلة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.