كشفت تقارير أمنية جديدة عن حملة قرصنة إلكترونية واسعة النطاق تستهدف المؤسسات الحيوية في جنوب وجنوب شرق وشرق آسيا. نفذت الحملة مجموعة تهديدات صينية على مدى عدة سنوات، مما أثار مخاوف كبيرة حول الأمن السيبراني في المنطقة.
من هم المهاجمون المستهدفون للبنية التحتية الآسيوية؟
نسبت شركة Paloalto Networks - عبر وحدة Unit 42 المتخصصة في الأمن السيبراني - هذه الأنشطة إلى مجموعة تهديدات غير موثقة سابقاً أطلقوا عليها اسم CL-UNK-1068. تشير الحروف "CL" إلى كلمة "cluster" (مجموعة)، بينما تعني "UNK" دوافع غير معروفة.
مع ذلك، خلصت الشركة بدرجة ثقة "متوسطة إلى عالية" إلى أن الهدف الرئيسي من الحملة هو التجسس الإلكتروني. ووفقاً لتيكبامين، تركز هذه العمليات على قطاعات حساسة تشمل:
- الطيران والنقل الجوي
- قطاع الطاقة
- الجهات الحكومية
- إنفاذ القانون
- الصناعات الدوائية
- التكنولوجيا والاتصالات
ما هي الأدوات المستخدمة في الهجمات؟
كشف الباحث الأمني Tom Fakterman عن مجموعة أدوات متعددة الأوجه يستخدمها المهاجمون تشمل:
- برمجيات خبيثة مخصصة
- أدوات مفتوحة المصدر معدلة
- ملفات تنفيذية نظامية (LOLBINs)
توفر هذه الأدوات طريقة بسيطة وفعالة للمهاجمين للحفاظ على وجود دائم داخل البيئات المستهدفة. وتعمل هذه الأدوات على استهداف أنظمة Windows و Linux على حد سواء.
عائلات برمجيات خبيثة رئيسية
يعتمد الخصوم على مزيج من الأدوات مفتوحة المصدر وعائلات برمجيات خبيثة مثل:
- Godzilla: صفحات ويب خلفية (web shells)
- ANTSWORD: صفحات ويب خلفية أيضاً
- Xnote: باب خلفي لنظام Linux تم رصده منذ 2015
- Fast Reverse Proxy (FRP): أداة بروكسي سريع
جدير بالذكر أن جميع هذه الأدوات تم استخدامها من قبل مجموعات قرصنة صينية مختلفة في السابق.
كيف يتم تنفيذ سلاسل الهجمات؟
تتضمن سلاسل الهجمات النمطية استغلال خوادم الويب لتسليم صفحات الويب الخلفية والانتقال بعد ذلك إلى مضيفين آخرين. يحاول المهاجمون سرقة ملفات بامتدادات محددة من خوادم Windows.
الملفات المستهدفة
- web.config
- .aspx
- .asmx
- .asax
- .dll
توجد هذه الملفات عادة في دليل "c:\inetpub\wwwroot" لخادم الويب، وربما يحاول المهاجمون سرقة بيانات الاعتماد أو اكتشاف الثغرات الأمنية.
بالإضافة إلى ذلك، يجمع CL-UNK-1068 ملفات أخرى تشمل:
- سجل التاريخ والمفضلات لمتصفحات الويب
- ملفات XLSX و CSV من سطح المكتب ومجلدات المستخدم
- ملفات النسخ الاحتياطي لقاعدة البيانات (.bak) من خوادم MS-SQL
ما هي طريقة تسريب البيانات غير المعتادة؟
لاحظ الباحثون في تيكبامين أسلوباً فريداً وغير تقليدي يستخدمه المهاجمون لتسريب البيانات. يتضمن هذا الأسلوب:
- استخدام برنامج WinRAR لأرشفة الملفات ذات الصلة
- ترميز الأرشيفات بتنسيق Base64 عبر تنفيذ أمر certutil -encode
- تشغيل أمر type لطباعة محتوى Base64 على شاشتهم عبر صفحة الويب الخلفية
قالت Unit 42: "بترميز الأرشيفات كنص وطباعتها على شاشتهم، تمكن المهاجمون من تسريب البيانات دون رفع أي ملفات فعلياً".
ربما اختار المهاجمون هذه الطريقة لأن الصدفة على المضيف سمحت لهم بتشغيل الأوامر وعرض المخرجات مباشرة، مما يجعل التسريب أكثر stealth ويصعب اكتشافه.
لماذا هذه الحملة خطيرة؟
تمثل هذه الحملة تهديداً خطيراً للأمن القومي والبنية التحتية الحيوية في الدول الآسيوية المستهدفة. استخدام أدوات متطورة وأساليب تسريب مبتكرة يشير إلى مستوى عالٍ من الاحترافية والتخطيط المسبق.
من الضروري أن تتخذ المؤسسات في المنطقة إجراءات أمنية مشددة وتحدث أنظمتها بانتظام للتصدي لمثل هذه التهديدات المتطورة، خاصة مع استمرار هذه الحملة لعدة سنوات دون اكتشاف.
