في هذه المدونة سوف اكتب بعض التفاصيل عن مجموعة MoonLight Maze/Turla للاختراق وهو من اقدم مجموعات الاختراق وهي مجموعة روسية تتبع للحكومة الروسية حسب مايشاع.
في عام 1996 بتاريخ 7 اكتوبر في احد المعامل التابعه لجامعة كولورادو للمعادن في ولاية كولورادو لاحظ احد مدراء الانظمة سلوك غير طبيعي في احد الاجهزة وقام بابلاغ البحريه الامريكية حيث كاانو متعاقدين معهم في تلك الفتره حيث ان ماعثر عليه هو rootkit تم زرعه على نظام sun OS ولم يستطيعو اكتشاف كيف تم تثبيت البرنامج ومتى.
في ديسمبر من نفس العام 1996 احد الانظمة التابعة للبحرية الامريكية تم اختراقة
في عام 1997 وزارة الطاقة الامريكية قامت بتسجيل العديد من محاولات الدخول تقريبا 324 brute force على انظمتها وبعضها كان ناجح وهذه المحاولات كان مصدرها موسكو احد عناوين الانترنت في روسيا.
في عام 1998 تاريخ 1 يونيو لاحظ احد مدراء الانظمة في احد قواعد الجوية العسكرية الامريكية في اوهايو اتصالات غريبة من احد السيرفرات وبعد التحقيق عثرو على احد سيرفرات c2 في لندن وقامو بالتواصل مع مالك السيرفر لطلب السجلات الخاصه بالسيرفر وعثر في سجلات الاف تي بي اتصالات لعدة جهات عسكرية وحكومية امريكية وتمت مراقبه السيرفر وحفظ ترافيك الجهاز وكان اسم السيرفر hrtest وعثر على بعض الادوات الخاصه بالمهاجمين. صورة للسيرفر HRTest 
عند مراجعة الاحداث المسجلة في الجهاز HRTest حيث تم معرفة الثغرة التي تم استغلالها من قبل المهاجمين حيث كانت الثغرة في احد ملفات CGI اسمه phf وهو مختص بعرض صفحات الويب وكانت الثغرة تستغل لتنفيذ اوامر على السيرفر
http://server/cgi-bin/phf?Qalias=%ff/bin/cat%20/etc/passwd
أثناء تحليل الاحداث في السيرفر وجد المحللون نشاط المهاجمون يبدا من الساعه 5 بتوقيت جرينتش اي الساعه 8 بتوقيت روسيا 
صورة توضح حركة البيانات من سيرفر C2 HRTest
الادوات الخاصة بالمهاجمين وعثر عليها في السيرفر
بعد قراءة الملفات المهمه ومعرفة كلمات المرور كان المهاجمون يقومون بالاتصال باستخدام الحسابات المسروقة عن طريق تلنت للدخول وكان. عثر على بعض الادوات المستخدمة من قبل المجموعة في جهاز HRTest من الادوات سكربت bash يقوم بجمع المعلومات عن الجهاز المخترق
استغل المهاجمين المنشاءات التعليمية لاستخدامها كسيرفرات تحكم c2 وذلك لقلة الاهتمام بالحماية وايضا لارتباطها بجهات عسكرية للابحاث حيث يستخدم المهاجمون يوزرات خاصة بالعاملين في معامل الابحاث فالجامعه للدخول لانظمة الجهات الحكومية والعسكرية.
في عام 1999 شهر يناير تم بدء مجموعة تسمى Joint Task Force-Global Network Operations (JTF-GNO) وكانت مهمتها حماية الشبكات الخاصة بالحكومة والجيش وكانت اولى المهام هي التحقيق في عمليات Moonlight Maze
وبعد التحقيق والتحليل وجدو ان المهاجمين استفتدو من قائمة Militarily Critical Technologies List وهي قائمة تضم التقنيات المتسخدمه لدى الجيش وتحتوي ايضاء على اسماء الجهات البحثية والتعليمية المتعاونة واسماء الباحثين. حيث استخدمها المهاجمون كقائمة الاهداف المراد اختراقها.
في فبراير من نفس العام 1999 تسربت بعض الوثائق من تحقيقات ال FBI ونشرت الصحف عن الحادثه فقرر ال FBI الهجوم على المهاجمين بطريقة ذكية حيث قامو بانشاء ملف pdf عند فتحه يطلب برنامج معين لقراءة الملف بشكل جيد وعند الضغط على رابط القارىء يعرفون عنوان الاي بي للجهاز وفعلا نجحت وحصلو على عنوان اي بي ولكن لم يثبت اي شي عن مكان المجموعة بعد ذلك قرر ال FBI ارسال فريق الى موسكو للبحث في الموضوع حتى يعرفون هل هم مجموعة من المجرمون ام مجموعه تابعه للحكومة.
صورة للخبر المنشور عام 1999 في صحيفة The Sundy Times, London
وعند وصول الفريق الى موسكو قابلهم فريق من وزارة الداخليه الروسية وفي اليوم الاول كانو متعاونين معهم وقامو بالذهاب الى مزود الخدمه الصادرة منه العنوانين المستخدمه فالهجوم وفي اليوم الثاني اغلق فريق وزارة الداخلية هواتفهم ولم يستطع فريق الاف بي اي التواصل مع احد لاستكمال البحث وعادو الى امريكا بدون اي فائدة.
بعد ذلك بدأ الاهتمام الحكومي بالعملية يرتفع وتم اتباع سياسة عدم افشاء اي معلومات عنها
وفي عام 2008 تم تدمير جميع الادلة التي جمعتها الاف بي اي عن المهجوم حسب الوثيقة التالية.
تعد هذه الحادثة من اقدم الحوادث وحيث حساسية الاهداف التي تم استهدافها لم يتم نشر العديد من نتائج التحقيقات وبعضها تم اتلافه للمحافضة على البيانات الواردة فيه.
الجدير بالذكر انه في عام 2014 ظهرت ادلة تشير الى تطور مجموعة MoonLight Maze لما يمسى بمجموعة Turla سوف نتطرق لها في مقالة اخرى
يعتقد الباحثون ان فريق Moonlight maze قد تطور الى مايسمى فريق Turla حيث يعتبر من اخطر المجموعات المتقدمة في مجال الاختراق والتجسس. ولهم عدة تسميات مثل Snake, Uroburos, Venomous Bear , Krypton . حيث تعتبر المجموعة نشطة منذ 2007 طبعا فيما يخص ارتباط Turla بمجموعة MoonLight Maze لايوجد اي ادلة قطعية ولكن ظهرت دراسات وتحليلات تشير الى ارتباطهم واستخدام TURLA لادوات MoonLight Maze .
المراجع:
النقر للوصول إلى Penquins_Moonlit_Maze_PDF_eng.pdf
AKMalware 