مجموعة Turla الروسية تحوّل باب Kazuar الخلفي إلى شبكة بوتنت P2P خفية بـ 150 إعداداً تشغيلياً

كشف فريق Microsoft Threat Intelligence هذا الأسبوع أن مجموعة Turla — المرتبطة بالمركز 16 في جهاز الأمن الفيدرالي الروسي FSB والمعروفة أيضاً باسم Secret Blizzard — أعادت هندسة باب Kazuar الخلفي بالكامل وحوّلته من إطار عمل أحادي البنية إلى شبكة بوتنت نظير-لنظير (P2P) معيارية تدعم 150 إعداداً تشغيلياً مختلفاً، مما يجعلها واحدة من أكثر أدوات التجسس السيبراني تطوراً في الساحة حالياً.

البنية المعيارية الجديدة: ثلاث وحدات متخصصة

بدلاً من الاعتماد على حزمة برمجية واحدة يسهل اكتشافها، قسّمت Turla منظومة Kazuar إلى ثلاث وحدات مستقلة تعمل بتناسق دقيق. الوحدة الأولى هي Kernel التي تمثّل النواة المركزية وتتولى تنسيق المهام وإدارة الاتصالات والحفاظ على حالة التشغيل عبر الأجهزة المصابة. الوحدة الثانية Bridge تعمل كجسر اتصال بين العقد الداخلية وخوادم القيادة والتحكم (C2)، بينما تتخصص وحدة Worker في تنفيذ المهام التشغيلية كسرقة البيانات وحقن العمليات وتسجيل ضربات المفاتيح.

هذا التقسيم يُقلّل البصمة الرقمية لكل مكوّن على حدة، ويصعّب على فرق الاستجابة للحوادث ربط الأجزاء ببعضها أثناء التحقيق الجنائي الرقمي.

بروتوكول P2P: عقدة قائدة واحدة تتحدث مع C2

الابتكار الأخطر في النسخة الجديدة هو اعتماد بروتوكول اتصال P2P بين الأجهزة المصابة. بدلاً من أن يتواصل كل جهاز مصاب مباشرة مع خادم C2 خارجي — وهو النمط التقليدي الذي تكتشفه أنظمة NDR وSIEM بسهولة — يُنتخب جهاز واحد فقط كعقدة "قائدة" (Leader) تتولى الاتصال الخارجي، بينما تتبادل بقية الأجهزة البيانات فيما بينها عبر قنوات مشفّرة داخلية.

هذا التصميم يُخفض حجم حركة المرور المشبوهة الخارجة من الشبكة بشكل جذري. حتى لو اكتشف فريق SOC العقدة القائدة وعزلها، تنتخب الشبكة تلقائياً عقدة بديلة وتستمر في العمل دون انقطاع — وهو سلوك شبيه بمرونة شبكات البلوكتشين.

150 إعداداً تشغيلياً: مرونة غير مسبوقة

وثّقت Microsoft أن Kazuar يدعم حالياً 150 خياراً للتكوين تمنح المشغّلين تحكماً دقيقاً في سلوك البرمجية. تشمل هذه الخيارات تفعيل أو تعطيل آليات تجاوز حلول الأمان المحددة، وجدولة المهام زمنياً لتجنّب فترات المراقبة المكثفة، والتحكم في حجم البيانات المسروقة وتوقيت إرسالها، وإدارة حقن العمليات في برامج شرعية، بالإضافة إلى تنفيذ أوامر PowerShell وCMD عبر قنوات مشفّرة. هذه المرونة تعني أن كل عملية نشر تبدو مختلفة عن سابقتها، مما يُبطل فعالية قواعد الكشف الثابتة المبنية على توقيعات محددة (signature-based detection).

آليات التوصيل: Pelmeni وShadowLoader

تستخدم Turla أداتي إسقاط (Droppers) لتوصيل Kazuar إلى الأهداف. الأداة الأولى Pelmeni تعمل على فك تشفير الحمولة وتحميلها في ذاكرة النظام مباشرة دون كتابتها على القرص (fileless execution)، بينما يُستخدم ShadowLoader كبديل في بيئات تتطلب أساليب تثبيت مختلفة. كلتا الأداتين تعتمدان على تقنيات التمويه المتقدمة كـ API hashing وstring encryption لتجنّب التحليل الساكن.

التأثير على المؤسسات المالية السعودية

رغم أن Turla تُصنّف تقليدياً كمجموعة تجسس تستهدف الجهات الحكومية والدبلوماسية، فإن تطوّر Kazuar إلى بوتنت معياري يُوسّع نطاق الاستهداف ليشمل البنية التحتية المالية. المؤسسات المالية السعودية الخاضعة لرقابة SAMA تمثّل هدفاً استراتيجياً لعمليات التجسس المدعومة من دول بسبب حجم المعاملات وأهمية البيانات المالية. متطلبات SAMA CSCC في المجال 3 (عمليات الأمن السيبراني) تُلزم صراحةً بقدرات كشف التهديدات المتقدمة APT، بينما يفرض إطار NCA ECC ضوابط محددة لمراقبة الاتصالات الشبكية الشاذة — وهي بالضبط النقطة التي يتفوّق فيها بروتوكول P2P الجديد في التهرّب.

كذلك يفرض نظام حماية البيانات الشخصية PDPL التزامات مشددة بالإبلاغ عن الاختراقات، ووجود بوتنت P2P خفي في الشبكة قد يعني تسريب بيانات لأشهر قبل اكتشافه، مما يُضاعف المسؤولية القانونية والتنظيمية.

التوصيات والخطوات العملية

1. تفعيل مراقبة حركة المرور الداخلية (East-West): لا تكتفِ بمراقبة حركة المرور الخارجية. اعتمد حلول NDR تراقب الاتصالات بين الأجهزة الداخلية وتكشف أنماط P2P غير المعتادة مثل Vectra أو Darktrace.
2. تطبيق مبدأ Zero Trust للشبكة الداخلية: قسّم الشبكة إلى مناطق صغيرة (microsegmentation) باستخدام حلول مثل Illumio أو Guardicore لمنع انتشار البوتنت بين الأجهزة.
3. مراجعة قواعد SIEM للاتصالات الداخلية: أضف قواعد كشف تنبّه عند اتصال أجهزة عمل ببعضها عبر منافذ غير معتادة أو بروتوكولات مشفّرة غير مألوفة.
4. تحديث مؤشرات الاختراق (IoCs): أضف مؤشرات Kazuar الجديدة التي نشرتها Microsoft إلى أنظمة EDR وSIEM فوراً، مع التركيز على هاشات Pelmeni وShadowLoader.
5. إجراء تمرين Threat Hunting مخصص: استخدم أطر MITRE ATT&CK Techniques المرتبطة بـ Turla (T1071.001, T1090.003, T1055) للبحث الاستباقي عن مؤشرات اختراق في بيئتكم.
6. تقييم قدرات الكشف وفق SAMA CSCC: تأكد من أن مركز العمليات الأمنية SOC لديكم يُغطي متطلبات المجال 3.2 المتعلقة بكشف التهديدات المستمرة المتقدمة.

الخلاصة

تحوّل Kazuar من باب خلفي تقليدي إلى بوتنت P2P معياري يمثّل نقلة نوعية في قدرات مجموعات التجسس المدعومة من دول. القدرة على إخفاء الاتصالات الخارجية وراء عقدة قائدة واحدة، مع 150 إعداداً يجعل كل عملية نشر فريدة، يضع ضغطاً هائلاً على فرق الأمن السيبراني التي تعتمد حصراً على قواعد الكشف التقليدية. المؤسسات المالية السعودية تحتاج إلى تبنّي نهج استباقي يجمع بين مراقبة الشبكة الداخلية وتقسيمها وصيد التهديدات المستمر.

هل مؤسستك مستعدة لمواجهة تهديدات APT بهذا المستوى؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واكتشاف الثغرات في قدرات الكشف لديكم.