اختراق صيني يستهدف جوجل وورك سبيس لسرقة أبحاث عسكرية

كشف تقرير أمني جديد عن قيام مجموعة من الهاكرز الصينيين باستغلال اختراق جوجل وورك سبيس لسرقة أبحاث دفاعية وطبية حساسة لأكثر من عام كامل.

وفقاً لما ذكره فريق استخبارات التهديدات في جوجل (GTIG)، فقد تمكنت مجموعة التجسس التي تتبعها تحت اسم UNC6508 من البقاء مختبئة داخل شبكات الأبحاث العسكرية والأكاديمية في أمريكا الشمالية، حيث قامت بتسريب رسائل البريد الإلكتروني الحساسة بذكاء وهدوء.

كيف تم اختراق خوادم الأبحاث العسكرية والطبية؟

اعتمد المهاجمون في البداية على استغلال ثغرات في منصة REDCap (التقاط بيانات الأبحاث الإلكترونية)، وهي منصة ويب تستخدمها المستشفيات والجامعات لإدارة قواعد بيانات الدراسات العلمية.

وحسب تيكبامين، فقد تضمن أسلوب عمل المجموعة الخطوات التالية:

• استهداف خوادم REDCap المواجهة للإنترنت والتي تعاني من ثغرات قديمة.
• نشر برمجية خبيثة مخصصة تسمى INFINITERED بعد حوالي ثلاثة أشهر من الدخول الأولي.
• سرقة بيانات اعتماد قواعد البيانات وحسابات الخدمة للتحرك داخلياً في الشبكة.
• الوصول إلى صلاحيات مسؤول النطاق (Domain Administrator) للتحكم الكامل في البيئة التقنية.

كيف استخدم الهاكرز قواعد جوجل وورك سبيس لسرقة الرسائل؟

الجزء الأكثر إثارة في هذا الهجوم هو طريقة تسريب البيانات؛ حيث لم يستخدم الهاكرز أدوات تقليدية، بل استغلوا ميزة قانونية في جوجل وورك سبيس (Google Workspace) مخصصة للمسؤولين.

قام المهاجمون بالتلاعب بقواعد "امتثال المحتوى" (Content Compliance Rules)، وهي أداة تقوم بمسح رسائل البريد الإلكتروني بحثاً عن كلمات مفتاحية محددة. إليكم تفاصيل العملية:

• إنشاء قواعد تراقب الكلمات المتعلقة بالأبحاث الدفاعية والطبية الحساسة.
• إرسال نسخة تلقائية من أي رسالة تطابق هذه الكلمات إلى صندوق بريد خارجي يسيطر عليه الهاكرز.
• تجاوز أنظمة الكشف التقليدية لأن البريد يتم تحويله عبر خوادم جوجل الرسمية بشكل يبدو طبيعياً.

من هي الجهات المستهدفة في هذا الهجوم الصيني؟

لم تسمِّ جوجل الضحايا بشكل مباشر، لكنها وصفتهم بأنهم مجموعة متنوعة من المنظمات في الولايات المتحدة وكندا، وشملت القائمة المؤسسات التالية:

• مراكز الأبحاث الأكاديمية والجامعات الكبرى المشاركة في دراسات دفاعية.
• المؤسسات الصحية العسكرية ومقدمو الخدمات السريرية المتخصصون.
• منظمو قطاع الصحة في أمريكا الشمالية ومجموعات الدفاع عن الحقوق.

بدأت هذه الأنشطة التجسسية في سبتمبر 2023 واستمرت حتى نوفمبر 2025، قبل أن تتمكن جوجل من تعطيل البنية التحتية للمجموعة وإبلاغ الضحايا لاتخاذ الإجراءات اللازمة، كما أكد فريق تيكبامين للأمن الرقمي.

أهم خصائص حملة التجسس UNC6508:

• مدة الاختراق: استمرت العملية لأكثر من عام من التجسس الصامت دون اكتشاف.
• الأداة الرئيسية: برمجية INFINITERED التي تقوم بتعديل ملفات نظام REDCap لسرقة بيانات الدخول.
• طريقة التسريب: استغلال قواعد التوجيه في جوجل وورك سبيس لإرسال البيانات دون إثارة الشكوك.

كيف تحمي مؤسستك من هجمات التجسس الرقمي؟

يشير خبراء الأمن إلى ضرورة مراجعة قواعد التوجيه التلقائي (Auto-forwarding) وقواعد الامتثال في خدمات البريد السحابي بانتظام. فقد أصبحت هذه الطريقة شائعة جداً بين مجموعات التجسس المدعومة من الدول لتجاوز أنظمة الرقابة التقليدية.

تنصح جوجل دائماً بتفعيل التحقق بخطوتين ومراقبة سجلات الدخول الخاصة بمسؤولي النظام بشكل دقيق لمنع أي تلاعب في قواعد البيانات أو إعدادات البريد الإلكتروني للمؤسسة.