كن حذرا! البرامج الضارة الروسية "LostKeys" يمكن تخزين الملفات الشخصية سرا!

جاكرتا - من المعروف أن مجموعة القراصنة الروسية المدعومة من الدولة ، ColdRiver ، تستخدم برنامجا ضارا جديدا يسمى LostKeys في هجوم تجسس ضد كيانات غربية. وجد فريق Google Threat Intelligence Group (GTIG) الأداة تستخدم في مخططات الهندسة الاجتماعية لسرقة ملفات وبيانات النظام.

ColdRiver مرتبط بوكالة الأمن الاتحادي الروسية (FSB) ، وتقدم وزارة الخارجية الأمريكية مكافأة بملايين الدولارات للمعلومات التي يمكن أن تكشف عن المجموعة.

جاكرتا إن عالم التجسس السيبراني الظل لديه الآن لاعبون جدد: برنامج ضار مشوه يطلق عليه اسم LostKeys. وفقا ل Google ، استخدمت مجموعة قراصنة حكومية تدعى ColdRiver LostKeys منذ بداية هذا العام للتجسس على الحكومات الغربية والصحفيين ومؤسسات التفكير (خزانات الفكر) والمنظمات غير الحكومية (NGOs).

ColdRiver نفسه ليس اسما جديدا. في ديسمبر 2024 ، اتهمت المملكة المتحدة بالتعاون مع تحالف الاستخبارات "العين الخمس" المجموعة بشكل مباشر بأنها مرتكبة تجسس رقمي. لدى ColdRiver صلة مباشرة بجهاز الأمن الفيدرالي الروسي (FSSB) ، وهو جهاز استخبارات وأمن داخلي.

اكتشفت GTIG لأول مرة LostKeys في يناير. تم استخدام البرنامج الضار من قبل ColdRiver في هجوم مستهدف بعنوان ClickFix. كان هذا الهجوم في الأساس احتيالا رقميا باستخدام تقنيات الهندسة الاجتماعية ، حيث تم إقناع الضحايا بتشغيل نصوص PowerShell الضارة.

بمجرد تشغيلها ، ستقوم النصوص بتنزيل وتنفيذ نصوص إضافية لتثبيت LostKeys. تم تحديد البرامج الضارة على أنها برامج ضارة لسرقة البيانات تعتمد على النصوص الأساسية المرئية (VBS) ، والتي يمكنها استخراج ملفات ومجلدات معينة ، وإرسال معلومات النظام ، وتشغيل أوامر إضافية إلى خوادم مهاجمين.

عادة ، يسرق ColdRiver بيانات اعتماد تسجيل الدخول للوصول إلى رسائل البريد الإلكتروني وقوائم جهات الاتصال الخاصة بالضحايا. ومع ذلك ، من المعروف أيضا أنهم استخدموا برنامجا ضارا آخر يسمى SPICA لسرقة المستندات. يبدو أن LostKeys تستخدم في حالات أكثر تحديدا وانتقائية ، مما يجعلها أداة خاصة في عمليات استخبارات ColdRiver.

ومن المثير للاهتمام أن ColdRiver ليست المجموعة الوحيدة التي تستخدم طريقة ClickFix. كما استخدمت مجموعات أخرى برعاية دول مثل Kimsuky (كوريا الشمالية) و MuddyWater (إيران) وغيرهم من الجهات الفاعلة الروسية مثل APT28 و UNK_RemoteRogue تكتيكات مماثلة في حملات التجسس التي شنوها مؤخرا.

تعمل ColdRiver ، المعروفة أيضا بأسماء أخرى مثل Star Blizzard و Callisto Group ، على صقل مهارات الهندسة الاجتماعية وجمع المعلومات الاستخباراتية مفتوحة المصدر منذ عام 2017 على الأقل. وتشمل أهدافهم منظمات الدفاع والحكومات وقادة السياسيين. زادت هجماتهم بشكل حاد منذ الغزو الروسي لأوكرانيا ، حتى أنها توسعت في مرافق صناعة الدفاع ووزارة الطاقة الأمريكية.

فرضت الحكومة الأمريكية عقوبات على العديد من أعضاء ColdRiver ، بما في ذلك واحد يشتبه في أنه ضابط في FSB. في الوقت الحالي، تقدم السلطات الأمريكية مكافأة كبيرة تصل إلى 10 ملايين دولار أمريكي (165.8 مليار روبية إندونيسية) لأي شخص يمكنه تقديم معلومات لتتبع الأعضاء الآخرين - مما يدل على مدى جدية التهديد الذي تشكله هذه المجموعة.