كشف تقرير جديد عن عملية تجسس معقدة استهدفت أنظمة لينكس لسنوات، حيث تمكن هاكرز صينيون من اختراق برمجيات تسجيل الدخول والبقاء متخفيين منذ عام 2016.
بدلاً من استهداف الحواسيب المحمولة أو الخوادم التقليدية التي يراقبها المدافعون عن الشبكات بدقة، اختارت مجموعة "Velvet Ant" المرتبطة بالصين الاختباء في أعمق نقطة ممكنة: نظام تسجيل الدخول الخاص ببيئة لينكس نفسه.
وفقاً لما ذكره موقع تيكبامين، قامت المجموعة بزرع أبواب خلفية في مكونات PAM وOpenSSH، وهي الأجزاء الحيوية المسؤولة عن التحقق من هوية المستخدمين ومنحهم حق الوصول، مما سمح لهم بالبقاء بعيداً عن عمليات التنظيف الأمنية التقليدية لسنوات طويلة.
ما هي تفاصيل عملية اختراق أنظمة لينكس الأخيرة؟
تعود جذور هذه الهجمات إلى عام 2016، حيث اتبع الهاكرز استراتيجية "التخفي التام" من خلال تعديل برامج تسجيل الدخول الموثوقة بدلاً من زرع برمجيات خبيثة جديدة قد تكتشفها أنظمة الحماية. إليكم أبرز ما قام به المهاجمون:
- تعديل موديولات PAM: استبدال موديولات تسجيل الدخول الأصلية بنسخ تحتوي على أبواب خلفية تسمح بدخول الهاكرز عبر كلمة مرور سرية.
- تسجيل بيانات الاعتماد: تسجيل أسماء المستخدمين وكلمات المرور الحقيقية سراً أثناء قيام الموظفين بتسجيل دخولهم العادي.
- مراقبة الأوامر: تعديل برامج OpenSSH لتسجيل كل أمر يتم كتابته وكل جلسة دخول، مع وجود مفتاح سري لإيقاف هذا التسجيل عند الحاجة.
كيف تمكن الهاكرز من الاختباء لمدة 10 سنوات؟
اعتمدت المجموعة على تقنيات متطورة للوصول إلى الشبكات المعزولة التي لا تملك اتصالاً مباشراً بالإنترنت. واستخدم المهاجمون خوادم ويب واجهة كجسر لنقل الأوامر وتنفيذها في عمق الشبكة المحمية.
وحسب تقرير تيكبامين، فقد تم اكتشاف تسعة إصدارات مختلفة من البرمجيات المعدلة، مما يظهر مدى تطور الأدوات التي يستخدمها هؤلاء الهاكرز للبقاء داخل الأنظمة الحساسة دون إثارة أي شكوك، حيث بدت نشاطاتهم كأنها عمليات إدارة نظام عادية.
ما هي خطورة "عملية هايلاند" على أمن المعلومات؟
تعتبر هذه العملية، التي أُطلق عليها اسم "Highland"، جزءاً من نمط أوسع تتبعه مجموعة Velvet Ant، حيث تستهدف الأجهزة والبنى التحتية التي نادراً ما يتم فحصها، مثل:
- أجهزة توزيع الأحمال ومفاتيح الشبكة (Switches).
- أجهزة F5 BIG-IP التي تم تحويلها سابقاً إلى خوادم تحكم داخلية.
- ثغرات في نظام Cisco NX-OS لزرع أبواب خلفية دائمة.
تكمن الخطورة الكبرى في أن إجراءات الاحتواء التقليدية، مثل إعادة تعيين كلمات المرور أو إنهاء الجلسات النشطة، لا تجدي نفعاً في هذه الحالة؛ لأن الأداة التي تتحقق من هذه البيانات هي نفسها مخترقة وتعمل لصالح المهاجم.
لماذا يعتبر تنظيف الأنظمة المخترقة أمراً معقداً؟
بما أن الهاكرز قاموا بتغيير البرامج الموثوقة داخل النظام، فإن الحل لا يكمن في مجرد تثبيت "تحديث أمني". يتطلب الأمر عملية تحقق شاملة لملفات النظام الأصلية، وهي مهمة دقيقة جداً؛ فاستبدال ملف خاطئ أو نسخة غير متوافقة قد يؤدي إلى قفل النظام بالكامل ومنع مسؤولي الشبكة من الوصول إلى الخوادم الحية.
كيف يمكن حماية المؤسسات من هذه التهديدات؟
تؤكد هذه الواقعة على ضرورة تبني استراتيجيات دفاعية متقدمة تتجاوز مجرد مراقبة البرمجيات الخبيثة التقليدية. يجب على الشركات التركيز على مراقبة سلامة الملفات (File Integrity) والتحقق من أن مكونات النظام الأساسية لم تتعرض لأي تغييرات غير مصرح بها.
في الختام، تذكرنا هذه القضية بأن المهاجمين الصبورين يفضلون البقاء في الظل لسنوات بدلاً من القيام بهجمات سريعة، مما يجعل عملية اختراق لينكس هذه واحدة من أكثر العمليات تعقيداً في العقد الأخير.
