قراصنة الصين يستهدفون الناتو ودولاً آسيوية: تقرير جديد

كشف باحثون أمنيون عن حملة تجسس سيبراني صينية واسعة استهدفت قطاعات حكومية ودفاعية في آسيا وأوروبا، مما يثير مخاوف كبرى كما رصد تيكبامين مؤخراً.

من هي الدول والقطاعات المستهدفة في هذه الهجمات؟

تشير التقارير التقنية الحديثة إلى أن نطاق الاستهداف كان واسعاً وشمل دولاً حيوية في جنوب وشرق وجنوب شرق آسيا، بالإضافة إلى دولة أوروبية عضو في حلف الناتو، مما يشير إلى أبعاد جيوسياسية لهذه الهجمات. القطاعات المستهدفة شملت الهيئات الحكومية والمؤسسات الدفاعية، بالإضافة إلى استهداف مباشر للصحفيين والناشطين الحقوقيين.

وتتضمن قائمة الدول التي تعرضت لهذه الهجمات ما يلي:

• باكستان والهند
• تايلاند وماليزيا
• ميانمار وسريلانكا
• تايوان
• بولندا (كعضو في حلف الناتو)

وفقاً لما تابعه تيكبامين، فإن هذه المجموعة تظهر نشاطاً مكثفاً منذ ديسمبر 2024، مع وجود تداخل في البنية التحتية مع مجموعات تجسس صينية أخرى معروفة سابقاً، مما يعقد عملية التتبع والتحليل الأمني.

كيف يتم تنفيذ هذه الهجمات السيبرانية المعقدة؟

تعتمد هذه المجموعة، التي يُشار إليها مؤقتاً باسم SHADOW-EARTH-053، على استراتيجية استغلال الثغرات الأمنية المعروفة التي لم يتم إصلاحها بعد في الأنظمة المستهدفة، وهو ما يُعرف تقنياً بثغرات N-day.

تبدأ الهجمات باستهداف تطبيقات الويب الموجهة للإنترنت، وبشكل خاص خوادم مايكروسوفت إكستشينج (Microsoft Exchange) وتطبيقات (IIS). ومن أبرز التقنيات المستخدمة:

• استغلال ثغرات ProxyLogon: للوصول الأولي إلى خوادم البريد الإلكتروني.
• نشر أغلفة الويب (Web Shells): وتحديداً أداة Godzilla لضمان الوصول المستمر.
• تحميل DLL الجانبي: زرع برمجيات خبيثة عبر ملفات تنفيذية موقعة رقمياً وشرعية لتضليل برامج الحماية.

ما هي الأدوات والبرمجيات الخبيثة المستخدمة في الهجوم؟

أوضح التقرير الذي اطلع عليه تيكبامين أن المهاجمين استخدموا ترسانة متنوعة من الأدوات المتطورة لضمان نجاح عمليات التجسس وسرقة البيانات دون اكتشافهم، ومن أبرزها:

• ShadowPad: وهي برمجية خلفية (Backdoor) متطورة تُستخدم في عمليات التجسس الحكومية.
• Noodle RAT: تم رصد نسخة مخصصة لنظام لينكس من هذه البرمجية، مما يوسع نطاق الهجوم ليشمل الخوادم.
• Sharp-SMBExec: أداة مخصصة للتحرك الجانبي داخل الشبكة بعد الاختراق الأولي.
• Mimikatz: أداة شهيرة تستخدم لسرقة بيانات الاعتماد وكلمات المرور من ذاكرة الأجهزة.
• AnyDesk: استغلال برنامج الوصول عن بُعد الشرعي كغطاء لنشر البرمجيات الخبيثة.

تقنيات التخفي وتجاوز الرقابة الأمنية

لضمان عدم اكتشاف حركة المرور الخبيثة، استخدم القراصنة أدوات "نفق" (Tunneling) مفتوحة المصدر مثل IOX وGO Simple Tunnel وWstunnel. هذه الأدوات تسمح للمهاجمين بإنشاء قنوات اتصال مشفرة ومخفية بين الأجهزة المخترقة وخوادم التحكم الخاصة بهم، مما يصعب مهمة أنظمة كشف التسلل التقليدية.

تداخل العمليات السيبرانية والهدف النهائي

أحد أكثر الجوانب إثارة للاهتمام في هذه الحملة هو رصد تداخل كبير في الأهداف مع حملة أخرى يطلق عليها SHADOW-EARTH-054. فرغم عدم وجود دليل قاطع على تنسيق مباشر، إلا أن استهداف نفس المؤسسات في دول مثل ماليزيا وسريلانكا يشير إلى وجود قاعدة بيانات أهداف مشتركة بين هذه المجموعات.

في الختام، يشدد تيكبامين على ضرورة قيام المؤسسات الحكومية والدفاعية بتحديث أنظمتها فوراً وسد الثغرات الأمنية في خوادم مايكروسوفت، حيث تظل الأنظمة غير المحدثة هي الثغرة الأكبر التي ينفذ منها القراصنة لتنفيذ مخططاتهم التجسسية واسعة النطاق.