قال باحثون إن المجموعة التي تقف وراء حملة تجسس إلكترونية عالمية اكتشفت الشهر الماضي نشرت شفرة كمبيوتر خبيثة مع روابط لأدوات تجسس استخدمها قراصنة روس مشتبه بهم وفقا لرويترز.
وقال المحققون في مركز الأمن السيبراني كاسبرسكي ومقرها موسكو، إن "الباب الخلفي" المستخدم لتسوية ما يصل إلى 18000 من عملاء شركة سولارويندز الأمريكية لتصنيع البرمجيات يشبه إلى حد كبير البرامج الضارة المرتبطة بمجموعة قرصنة تعرف باسم "تورلا"، والتي قالت السلطات الإستونية إنها تعمل بالنيابة خدمات الأمن الروسي FSB.
والنتائج هي أول دليل متاح علنًا لدعم تأكيدات الولايات المتحدة بأن روسيا هي التي دبرت عملية الاختراق، والتي عرقلت مجموعة من الوكالات الفيدرالية الحساسة وهي من بين أكثر العمليات الإلكترونية طموحًا التي تم الكشف عنها على الإطلاق.
ونفت موسكو مرارا هذه المزاعم، وقال Costin Raiu، رئيس قسم الأبحاث والتحليل العالمي فى Kaspersky، إن هناك ثلاثة أوجه تشابه متميزة بين الباب الخلفي SolarWinds وأداة القرصنة المسماة "Kazuar" التي تستخدمها Turla.
وتضمنت أوجه التشابه الطريقة التي حاولت بها البرامج الضارة إخفاء وظائفهما عن محللي الأمن، وكيفية تحديد المتسللين لضحاياهم، والصيغة المستخدمة لحساب فترات خمول الفيروسات في محاولة لتجنب اكتشافها، من ضمنها عندما قام قراصنة روس بتعطيل حفل افتتاح دورة الألعاب الأولمبية الشتوية في عام 2018 على سبيل المثال، قاموا بتقليد مجموعة كورية شمالية عن عمد لمحاولة إبعاد اللوم.
وقال Raiu إن القرائن الرقمية التي كشفها فريقه لا تشير بشكل مباشر إلى تورلا في تسوية SolarWinds ، ولكنها أظهرت وجود اتصال لم يتم تحديده بعد بين أداتي القرصنة.
وقال إنه من المحتمل أن تكون المجموعة نفسها قد تم نشرها، ولكن أيضًا أن Kazuar ألهم قراصنة SolarWinds ، تم شراء كلتا الأداتين من نفس مطور برامج التجسس، أو حتى أن المهاجمين وضعوا "أعلامًا كاذبة" لتضليل المحققين.
ولا تزال فرق الأمن في الولايات المتحدة ودول أخرى تعمل على تحديد النطاق الكامل لاختراق SolarWinds، وقال المحققون إن الأمر قد يستغرق شهورًا لفهم مدى الاختراق وحتى وقت أطول لطرد المتسللين من شبكات الضحايا.
وقالت وكالات المخابرات الأمريكية إن المتسللين "من المحتمل أن يكونوا روسيين الأصل" واستهدفوا عددًا صغيرًا من الضحايا البارزين كجزء من عملية لجمع المعلومات الاستخبارية.