كشفت تقارير أمنية عن تعرض أنظمة حكومية في منغوليا لهجمات سيبرانية معقدة نفذتها مجموعة GopherWhisper المرتبطة بالصين باستخدام برمجيات خبيثة متطورة.
تعتبر الهجمات السيبرانية التي تستهدف المؤسسات الحكومية من أخطر التهديدات الأمنية في العصر الرقمي الحالي. ووفقاً لما تابعه فريق تيكبامين، فقد ظهرت مجموعة تهديد متقدمة ومستمرة (APT) جديدة تُعرف باسم جوفير ويسبر (GopherWhisper)، والتي تركز جهودها على اختراق البنية التحتية الرقمية في منغوليا.
ما هي مجموعة GopherWhisper وكيف تستهدف الضحايا؟
تم اكتشاف هذه المجموعة لأول مرة في يناير 2025، بعد العثور على باب خلفي (Backdoor) غير معروف مسبقاً أطلق عليه الباحثون اسم LaxGopher. هذا البرنامج الخبيث تم زرعه داخل أنظمة تابعة لكيان حكومي منغولي بهدف التجسس وجمع المعلومات الحساسة.
تعتمد المجموعة في ترسانتها على مجموعة واسعة من الأدوات البرمجية التي تتميز بالآتي:
- تطوير أغلب البرمجيات باستخدام لغة البرمجة Go (Golang).
- استخدام أدوات حقن (Injectors) ومحملات (Loaders) لتنفيذ الأكواد الخبيثة.
- الاعتماد على أبواب خلفية متعددة لضمان استمرار الوصول إلى الأنظمة المصابة.
- القدرة على تلقي الأوامر من خوادم التحكم (C&C) وتنفيذها بدقة عالية.
كيف يتم استغلال ديسكورد وسلاك في الهجمات السيبرانية؟
من أبرز الأساليب التي تتبعها مجموعة جوفير ويسبر هي إساءة استخدام الخدمات السحابية والمنصات المشهورة والموثوقة لتمرير حركة مرور البيانات الخاصة بخوادم التحكم والسيطرة. هذا الأسلوب يجعل من الصعب على برامج الحماية التقليدية اكتشاف النشاط المشبوه لأنه يظهر كحركة مرور عادية.
تشمل الخدمات التي تم استغلالها من قبل المجموعة ما يلي:
- ديسكورد (Discord): لإرسال الأوامر وتلقي البيانات المسربة.
- سلاك (Slack): كقناة اتصال سرية مع الأنظمة المخترقة.
- مايكروسوفت 365 أوتلوك: لتمرير البيانات عبر رسائل البريد الإلكتروني.
- file.io: لرفع الملفات المسروقة وتخزينها بشكل مؤقت قبل سحبها.
ما هي الأدوات التقنية التي تستخدمها المجموعة؟
بالإضافة إلى الأبواب الخلفية المكتوبة بلغة Go، تستخدم المجموعة أداة متخصصة في جمع الملفات (File Collection Tool). تقوم هذه الأداة بالبحث عن الملفات ذات الأهمية العالية داخل النظام المصاب، ثم تقوم بضغطها لتقليل حجمها قبل إرسالها إلى خدمات مشاركة الملفات.
كما رصدت التقارير وجود باب خلفي مكتوب بلغة C++ يوفر للمهاجمين تحكماً كاملاً عن بُعد في الأجهزة المخترقة، مما يتيح لهم تنفيذ عمليات تجسس أعمق وتحميل برمجيات إضافية حسب الحاجة.
لماذا يُعتقد أن GopherWhisper مرتبطة بالصين؟
يشير تحليل البيانات الواردة إلى أن المجموعة تعمل وفق جدول زمني محدد يتماشى تماماً مع التوقيت القياسي للصين. فمعظم النشاط والرسائل المرسلة عبر منصات مثل سلاك وديسكورد كانت تتم خلال ساعات العمل الرسمية، أي بين الساعة 8 صباحاً و5 مساءً بتوقيت الصين.
علاوة على ذلك، أظهرت البيانات الوصفية (Metadata) للمستخدمين المهيئين في منصة Slack أن الموقع الجغرافي والإعدادات كانت مضبوطة على هذا النطاق الزمني، مما عزز الاعتقاد بأن جوفير ويسبر هي مجموعة مدعومة أو منحازة للصين.
كيف تحمي المؤسسات أنفسها من هذه التهديدات؟
يؤكد خبراء الأمن في تيكبامين على ضرورة مراقبة حركة المرور الخارجة نحو منصات التواصل والتعاون السحابي بشكل دقيق. فالاعتماد الكلي على موثوقية هذه الخدمات قد يكون ثغرة يستغلها المهاجمون لتجاوز الجدران النارية وأنظمة كشف التسلل.
ختاماً، فإن ظهور مجموعة مثل جوفير ويسبر (GopherWhisper) واستخدامها للغات برمجة حديثة مثل Go، يوضح مدى تطور أدوات الهجوم السيبراني، ويفرض على الحكومات والشركات تحديث استراتيجياتها الدفاعية بشكل مستمر لمواجهة هذه الأبواب الخلفية المتطورة.
