كشف خبراء الأمن السيبراني عن حملة هجمات شرسة تقودها مجموعة قراصنة صينية لنشر فيروس الفدية ميدوسا مستغلة ثغرات صفرية حديثة لضرب أنظمة حيوية. وتعتمد هذه الهجمات السريعة والمتقدمة بشكل أساسي على استغلال الأنظمة غير المحدثة والمعرضة مباشرة لشبكة الإنترنت.
وأكدت تقارير أمنية متخصصة أن هذه المجموعة، والتي تُعرف في الأوساط التقنية باسم Storm-1175، تمتلك قدرة تشغيلية عالية جداً على اكتشاف الأصول التقنية المكشوفة. وقد نجحت هذه المجموعة مؤخراً في اختراق وتشفير بيانات حساسة في قطاعات متعددة حول العالم تاركة أضراراً جسيمة.
ما هي القطاعات الأكثر تضرراً من هجمات ميدوسا؟
ركزت المجموعة الصينية جهودها على شل حركة قطاعات حيوية وحساسة، مما أدى إلى أضرار بالغة وتوقف للخدمات في عدة دول رئيسية. وشملت قائمة الضحايا الأبرز مؤسسات كبرى في الولايات المتحدة الأمريكية، والمملكة المتحدة، بالإضافة إلى أستراليا.
وتتضمن القطاعات التي تم استهدافها بشكل مكثف خلال الأشهر الماضية ما يلي:
- مؤسسات الرعاية الصحية والمستشفيات والمراكز الطبية.
- قطاع التعليم، المدارس، والجامعات الكبرى.
- مقدمو الخدمات المهنية والشركات الاستشارية.
- القطاع المالي والمصرفي وشركات التأمين.
كيف يتم استغلال الثغرات الصفرية ببراعة؟
تتميز هجمات Storm-1175 بالسرعة الفائقة والدقة في استغلال الثغرات الأمنية غير المكتشفة مسبقاً، أو ما يعرف تقنياً باسم الثغرات الصفرية. وتقوم المجموعة بشن هجماتها حتى قبل أن يتم الإعلان عن هذه الثغرات رسمياً من قبل الشركات المصنعة.
علاوة على ذلك، تقوم المجموعة بدمج عدة ثغرات أمنية معاً في هجوم واحد لتسهيل عملية الاختراق الكامل والسيطرة المطلقة على النظام المستهدف. بمجرد الحصول على موطئ قدم أولي داخل الشبكة، يتحرك القراصنة، الذين تدفعهم دوافع مالية بحتة، بسرعة كبيرة لسرقة البيانات الحساسة.
وفي غضون أيام قليلة فقط من الاختراق الأولي، أو حتى خلال 24 ساعة في بعض الحالات القصوى والمستهدفة بعناية، يتم نشر فيروس الفدية ميدوسا للبدء في عملية تشفير الملفات وطلب فدية مالية ضخمة.
كيف يضمن القراصنة البقاء طويلاً داخل الأنظمة؟
لتأمين وجودهم المستمر والمخفي داخل الشبكات المخترقة لفترات طويلة، يعتمد المهاجمون الصينيون على تكتيكات متطورة تمنع أنظمة الحماية من اكتشافهم. ويشمل ذلك القيام بإنشاء حسابات مستخدمين جديدة بصلاحيات إدارية كاملة.
كما يقومون بتعطيل عمل برامج الحماية الأساسية ومكافحات الفيروسات بشكل متعمد. ولعل التكتيك الأكثر دهاءً هو استغلالهم لبرامج الإدارة والمراقبة عن بعد (RMM) المشروعة كغطاء مثالي لتحركاتهم الخبيثة داخل الشبكة.
وفيما يلي أبرز أدوات الإدارة عن بعد التي يتم استغلالها من قبل المجموعة:
- برنامج AnyDesk الشهير للتحكم بالأجهزة عن بعد.
- أداة Atera المخصصة لإدارة فرق تكنولوجيا المعلومات.
- منصات MeshAgent و ConnectWise ScreenConnect المتقدمة.
- تطبيقات SimpleHelp المستخدمة عادة في الدعم الفني المباشر.
استهداف خوادم لينكس الحديثة
منذ بداية عام 2023 وحتى الآن، ارتبطت عمليات مجموعة Storm-1175 الخبيثة باستغلال أكثر من 16 ثغرة أمنية مختلفة ومتنوعة. وشمل ذلك ثغرات حديثة وخطيرة مثل CVE-2025-10035 بالإضافة إلى ثغرة CVE-2026-23760.
وقد تم استغلال كلتا الثغرتين كثغرات صفرية قبل الإعلان عنهما للجمهور بوقت طويل. ومع أواخر عام 2024، أظهرت المجموعة اهتماماً كبيراً ومتزايداً باستهداف أنظمة خوادم لينكس (Linux) التي تعتمد عليها الشركات الكبرى.
وتضمن هذا التوجه الجديد استغلال خوادم Oracle WebLogic الضعيفة وغير المحدثة في العديد من المؤسسات، رغم أن الثغرة الدقيقة المستخدمة في هذه الهجمات المحددة لا تزال قيد التحقيق وغير معروفة تماماً حتى اللحظة.
ما هي خطورة أدوات الإدارة عن بعد في الاختراق؟
تكمن الخطورة الكبرى في هذه الهجمات، كما يشير خبراء تيكبامين، في التحول المخيف لأدوات الإدارة عن بعد المشروعة والموثوقة إلى سلاح مزدوج الاستخدام يخدم مصالح القراصنة. هذا التكتيك الماكر يسمح للمهاجمين بإخفاء نشاطهم الخبيث بالكامل.
حيث تندمج تحركاتهم داخل حركة مرور البيانات الموثوقة والمشفرة الخاصة بالشركة نفسها. ونتيجة لذلك، تنخفض احتمالية اكتشاف الهجوم من قبل أنظمة المراقبة والجدران النارية التقليدية بشكل كبير جداً، مما يمنحهم وقتاً كافياً لتنفيذ خططهم.
وتقوم المجموعة بتبديل الثغرات التي تستغلها بسرعة قياسية خلال الفترة الزمنية الفاصلة بين الإعلان الرسمي عن الثغرة وإصدار التحديث الأمني لها. وفي الختام، يؤكد موقع تيكبامين المتخصص، على ضرورة الإسراع الدائم في تطبيق التحديثات الأمنية الرقعية لسد الثغرات المكتشفة فور صدورها لتجنب الوقوع ضحية لمثل هذه الهجمات المدمرة.
