منذ تورُّطهم مع مجموعات قرصنة أُخرى في الاختراق المُشين للَّجنة الوطنية الديمقراطية (التابعة للحزب الديمقراطي الأميركي) في عام 2016، تلاشت إلى حدٍّ بعيد آثار قراصنة الاستخبارات الروسية المعروفين باسم مجموعة كوزي بير.
غير أنَّ بحثاً جديداً يُظهر أن المجموعة (التي تُعرف أيضاً باسم الدوقات) لم تُوقِف نشاطها إطلاقاً. ووفقاً لهذا البحث الذي قامت به شركة إيسيت السلوفاكية المُختصَّة بالأمن السيبراني، فإنه على الرغم من نجاح المجموعة في البقاء بعيداً عن الأضواء لأكثر من عامين، فقد شاركت بنشاطٍ في حملة تجسُّس استمرت لمدة ستة أعوام واستهدفت خلالها وزارات الخارجية في ثلاث دولٍ أوروبية على الأقل، بالإضافة إلى سفارة إحدى دول الاتحاد الأوروبي في العاصمة الأميركية واشنطن.
كما تم اكتشاف آثارٍ لمشاركة مجموعتي اختراق روسيتين متطورتين -تعملان تحت الاسمين الحركيين فانسي بير وتورلا- في بعض الحواسيب المُخترَقة. ومن المعروف أنَّ مجموعات القرصنة الروسية المُنضوية تحت أذرعٍ حكومية مختلفة -والتي كانت في هذه الحالة وكالاتٍ عسكرية واستخباراتية- تتنافس بشراسةٍ فيما بينها عند السعي وراء أهداف عالية القيمة.
حيث تستخدم مجموعة كوزي بير برمجياتٍ ضارة وتكتيكات جديدة في حملتها الدقيقة والمتواصلة ضد عددٍ من الأهداف السياسية الأوروبية التي أطلق عليها الباحثون اسم: العملية الشبح، وهي عملية تعود بداياتها إلى العام 2013 وتمتد حتى يونيو من عام 2019 على الأقل.
التسلل من الباب الخلفي
عادةً ما يبدأ القراصنةُ هجومَهم عبر رسائل بريد إلكتروني للتصيُّد المعلوماتي المُوجَّه، وهي رسائل مُصمَّمة بعنايةٍ من أجل خداع الأشخاص المُستهدَفين والمُحدَّدين بدقةٍ ودفعهم للنقر على الروابط الضارة، مُطلقين بذلك عملية تحميل برمجياتٍ خطيرة تمنح كوزي بير التحكم في الأجهزة الرئيسية وحسابات المستخدمين. وتبيِّن تفاصيل الطريقة التي يُنجِز بها القراصنة مهمتهم أنهم الأفضل على مستوى العالم في العمل الذي يقومون به.
ويتم تنفيذ الحملة خلال ساعات العمل بتوقيت موسكو. وتتضمَّن استخدام مجموعاتٍ مُتعدِّدة من البرمجيات الضارة الحديثة التي تم اكتشاف استخدامها خلال هذه العملية.
وقد قامت المجموعة بتصميم مجموعةٍ جديدة من البرمجيات الخبيثة -التي تُعرف باسم: فات دوك- لتقوم بمهمةٍ محددة، وهي توفير بابٍ خلفي للدخول إلى جهاز الضحية بشكل مخفي ودون توليد أية آثار يُمكن ملاحظتها؛ حيث تتمكن من فعل ذلك من خلال لعب دور متصفِّح الإنترنت الخاص بالهدف بأدق التفاصيل، مثل استخدام نفس وكيل المستخدم (وهو برنامج يتضمن بياناتٍ مميِّزة لكل مستخدم) لمتصِفح الإنترنت المُثبَّت على جهاز الضحية.
وإليكم خطوات الطريقة التي يفترض الباحثون أن أحد هجمات العملية الشبح تتبعها:
يستلم هدفٌ ما (دبلوماسية أوروبية على سبيل المثال) بريداً إلكترونياً مُصمَّماً بشكلٍ خاص لدفعها إلى تحميل مستند خبيث، وقد يحتوي هذا المستند على برمجية خبيثة اسمها بوليجلوت دوك التي تقوم خلسةً بتثبيت برمجية ضارة أخرى على جهاز الضحية. ولكي تتمكن من فعل ذلك، تبحث البرمجية الضارة في رسائل محددة سلفاً على مواقع مشهورة مثل ريديت، فتبدو كأنها حركة بيانات طبيعية على الإنترنت. وعندها يتم تحميل صورة تستخدم تكتيكاً يُدعى إخفاء المعلومات، الذي يقوم بتغيير محتوى ملف الصورة بمهارة ليُخبِّئ فيه معلوماتٍ مُشفَّرة بما فيها حمولات معلوماتٍ إضافية. وفجأةً، يتم تضمين تعليمات برمجية مؤذية وغير مرئية تقريباً في صورٍ تبدو عادية.
وفي المرحلة الثالثة من طريقة العمل المُتَّبعة عند استهداف الأشخاص الأكثر أهمية وجدارةً بالاهتمام، تقوم هذه التعليمات بتثبيت الباب الخلفي المُسمى ميني دوك، وعندئذٍ ينتقلون إلى استخدام برنامج فات دوك الخبيث. فإذا ما نجحوا في تنصيب فات دوك، وهو ما يُعرف باسم "الباب الخلفي الرئيسي الراهن"، سيعني ذلك أنَّ المعركة قد انتهت وأن القراصنة قد أنجزوا مهمَّتهم.
العمل بسرّية
يكمُن الأمر الاستثنائي الآخر حول هذه المجموعة والحملة التي تشنُّها في طريقة إعادة تصميم الهيكلية الأساسية التي تقوم عليها شبكة العملية من جديد لكل ضحية جديدة.
يقول الباحثون في إيسيت، ماثيو فاو وماثيو تارتار وتوماس دوبوي، في بحثهم الجديد: "لا نرى هذا النوع من تقسيم مراحل العمل إلا لدى المُهاجِمين الأكثر دقة؛ فطريقة التصميم المُخصصة هذه تحمي العملية ككل في حالة اكتشاف ضحيةٍ واحدة للإصابة ومشاركتها لمعلومات الشبكة المعنية [أو ما يعرف بمؤشرات التهديد]، مع مجتمع أمن المعلومات".
وما زالت مجموعة كوزي بير ناشطةً منذ أكثر من عقد من الزمن.
وكتب الباحثون: "يُظهر بحثنا الجديد أنه حتى لو اختفت مجموعةُ تجسُّسٍ من التقارير العامة للأمن السيبراني لسنواتٍ طويلة، فهذا لا يعني أنها قد أوقفت نشاطاتها التجسُّسية". ويضيف الباحثون أن قراصنة مجموعة كوزي بير "قد تمكنوا من العمل بسريةٍ تامة لسنواتٍ عديدة متابعين عملهم في تهديد الأهداف ذات القيمة العالية كالمُعتاد".