نجحت شركة جوجل بالتعاون مع شركائها في قطاع الأمن السيبراني في إحباط حملة تجسس سيبراني واسعة النطاق ومميتة، تقودها مجموعة يُعتقد أنها مدعومة من جهات أجنبية تُعرف باسم UNC2814. وقد استهدفت هذه الحملة المعقدة ما لا يقل عن 53 مؤسسة حيوية موزعة على 42 دولة حول العالم.
من هي مجموعة UNC2814 وما أهدافها الاستراتيجية؟
تُعد مجموعة UNC2814 من أبرز الجهات الفاعلة في مجال التهديدات الإلكترونية، ويُعتقد بقوة أن لها ارتباطات بجهات صينية تسعى لجمع معلومات استخباراتية حساسة. وتستهدف هذه المجموعة بشكل رئيسي القطاعات الحكومية الحساسة وشركات الاتصالات العالمية.
وقد رصدت مجموعة استخبارات التهديدات في جوجل نشاط هذه المجموعة منذ عام 2017. وتركز هجماتها المتقدمة والمستمرة على مناطق واسعة جغرافياً تشمل قارات أفريقيا، وآسيا، والأمريكتين، مع وجود أدلة تشير إلى تورطها في عمليات اختراق طالت أكثر من 20 دولة إضافية بخلاف الدول المعلنة.
كيف تعمل برمجية GRIDTIDE الخبيثة للتخفي؟
تعتمد حملة الاختراق هذه بشكل أساسي على باب خلفي (Backdoor) متطور للغاية يُعرف باسم GRIDTIDE. والمثير للاهتمام في هذه الحملة هو كيفية استغلال المهاجمين للخدمات السحابية الشرعية لتنفيذ عملياتهم السرية وتجنب اكتشافهم بواسطة برامج الحماية التقليدية.
تستخدم المجموعة طرقاً معقدة لضمان بقاء اتصالاتها مخفية وفعالة في نفس الوقت:
- استغلال واجهات جوجل: تستخدم واجهة برمجة تطبيقات جداول جوجل (Google Sheets API) كقناة اتصال رئيسية للتحكم والسيطرة.
- آلية الاتصال: تعتمد على آلية استطلاع تستند إلى الخلايا، حيث يتم تعيين أدوار محددة لخلايا معينة في جداول البيانات لتمكين الاتصال ثنائي الاتجاه.
- إخفاء البيانات: تهدف هذه الطريقة إلى إخفاء حركة مرور البيانات الخبيثة لتبدو وكأنها اتصالات طبيعية للبرمجيات كخدمة (SaaS).
- لغة البرمجة: تمت كتابة هذه البرمجية الخبيثة بلغة C لتوفير أداء عالٍ، وهي تدعم رفع وتنزيل الملفات وتنفيذ أوامر برمجية عن بُعد.
تقنيات متقدمة للانتشار داخل الأنظمة المخترقة
بحسب تحليل خبراء تيكبامين، لا يزال التحقيق جارياً لمعرفة كيفية وصول المهاجمين الأولي للأنظمة والمؤسسات. ومع ذلك، تمتلك المجموعة المهاجمة تاريخاً طويلاً وموثقاً في استغلال الثغرات واختراق خوادم الويب والأنظمة الطرفية.
بعد نجاح الاختراق الأولي، يستخدم المهاجمون حسابات الخدمة المتاحة للتنقل أفقياً داخل الشبكة عبر بروتوكول SSH. كما يعتمدون بشدة على أدوات النظام الأصلية المدمجة (LotL) لجمع المعلومات ورفع الامتيازات بشكل صامت تماماً.
لضمان بقاء البرمجية الخبيثة والتحكم المستمر في النظام، يتم اتباع الخطوات التالية:
- الاستدامة: إنشاء خدمة مخفية في مسار النظام لضمان عمل البرمجية، ليتم تشغيلها تلقائياً مع كل عملية إقلاع من خلال المسار /usr/sbin/xapt.
- تشفير الاتصالات: نشر أداة SoftEther VPN Bridge لإنشاء اتصال مشفر ومباشر بعنوان IP خارجي، وهي أداة ارتبط استخدامها سابقاً بعدة مجموعات قرصنة.
ما هي إجراءات جوجل لحماية المؤسسات والمستخدمين؟
أظهرت التحليلات الدقيقة أن برمجية GRIDTIDE يتم إسقاطها وتثبيتها بشكل أساسي على الأجهزة الطرفية التي تحتوي على معلومات تعريف شخصية (PII). وهذا السلوك يتوافق تماماً مع أهداف التجسس السيبراني الكلاسيكية التي تركز على مراقبة شخصيات معينة ذات أهمية عالية.
وعلى الرغم من خطورة الاختراق، أكدت جوجل أنها لم ترصد أي عمليات تسريب أو سرقة فعلية للبيانات خارج الأنظمة خلال فترة مراقبة هذه الحملة. وكما أشار تقرير تيكبامين المستمر حول الأمن السيبراني، فإن الاستجابة السريعة تلعب دوراً محورياً في تقليل الخسائر.
وقد اتخذت جوجل مجموعة من الإجراءات الصارمة والفورية لردع الهجوم:
- إغلاق وحذف جميع مشاريع منصة جوجل السحابية التي يتحكم فيها المهاجمون بشكل نهائي.
- تعطيل البنية التحتية المعروفة والتابعة لمجموعة UNC2814 بالكامل لمنع أي هجمات مستقبلية.
- قطع الوصول والاتصال بشكل جذري عن جميع البرمجيات الخبيثة المرتبطة بهذه الحملة التجسسية.
تؤكد هذه الحادثة الأمنية الخطيرة على أهمية قيام المؤسسات والشركات بتأمين أنظمتها وتحديثها باستمرار، ومراقبة حركة مرور البيانات الصادرة والواردة، حتى تلك التي تستخدم تطبيقات موثوقة، لمواجهة التكتيكات شديدة التطور التي تتبناها مجموعات القرصنة في الفضاء الرقمي.
