هجمات "فردانت بامبو" تستهدف أنظمة لينكس: تهديد أمني جديد

كشفت تقارير أمنية عن نشاط لمجموعة "فردانت بامبو" (VerdantBamboo) الصينية، التي تستخدم برمجيات خبيثة متطورة لاستهداف أنظمة لينكس وBSD وتجاوز الحماية الرقمية للمؤسسات الكبرى.

ما هي مجموعة "فردانت بامبو" وكيف تهدد أنظمة لينكس؟

تُعد مجموعة "فردانت بامبو" من أخطر فصائل التجسس السيبراني المرتبطة بالصين، وتُعرف في الأوساط التقنية بأسماء متعددة مثل Clay Typhoon (مايكروسوفت) وUNC5221 (جوجل). ووفقاً لما تابعه فريق تيكبامين، فإن المجموعة تركز هجماتها على البنية التحتية والأنظمة التي تعتمد على لينكس وBSD للوصول إلى بيانات حساسة.

تعتمد المجموعة على استراتيجيات معقدة تشمل ما يلي:

• استغلال ثغرات تصعيد الصلاحيات المحلية للوصول إلى عمق النظام.
• نشر إصدارات مخصصة من برمجية BRICKSTORM لاستهداف أنظمة BSD.
• استخدام تقنيات التمويه للبقاء داخل الشبكات لفترات طويلة تتجاوز 18 شهراً.

كيف تم اكتشاف ثغرة Egnyte Storage Sync؟

أظهرت التحقيقات أن المهاجمين استهدفوا نظام Egnyte Storage Sync من خلال استغلال ثغرة أمنية سمحت لهم بنشر برمجيات خبيثة. وقد سارعت الشركة بإطلاق تحديث أمني في مارس 2026 لمعالجة هذه المشكلة في الإصدار 13.13، مما يؤكد أهمية التحديث الفوري للأنظمة.

وحسب تقرير تيكبامين، تمكن المهاجمون من استخدام قدرات البرمجية الخبيثة لتجاوز سياسات الوصول المشروط في بيئة Microsoft 365. هذا الاختراق مكنهم من الوصول إلى رسائل البريد الإلكتروني والبيانات السحابية عبر انتحال صفة مستخدمين شرعيين واستخدام عناوين IP تبدو موثوقة.

ما هي البرمجيات الخبيثة المستخدمة في الهجوم؟

استخدمت مجموعة فردانت بامبو ترسانة متنوعة من الأدوات الخبيثة التي تستهدف أنظمة التخزين والشبكات، وأبرزها:

• BRICKSTORM: باب خلفي متطور يدعم أنظمة متعددة ويسمح بالتحكم الكامل عن بعد.
• PLENET (GRIMBOLT): برمجية تستهدف أنظمة التخزين الشبكي (NAS) وتعمل عبر بروتوكول SSH.
• AGENTPSD: أداة مخصصة لجمع المعلومات وتنفيذ الأوامر البرمجية داخل الأنظمة المخترقة.

استهداف مزودي الخدمات المدارة (MSP)

لم يكتفِ المهاجمون باستهداف الضحايا بشكل مباشر، بل قاموا باختراق مزودي الخدمات المدارة (MSP) للوصول إلى جدران الحماية من نوع pfSense. من خلال هذه المنصة، تمكنوا من توزيع البرمجيات الخبيثة على نطاق أوسع، مستغلين الثقة الممنوحة لمزودي الخدمات في إدارة شبكات العملاء.

نصائح تيكبامين لحماية الأنظمة من الهجمات المتطورة

إن مواجهة تهديدات مثل "فردانت بامبو" تتطلب نهجاً أمنياً صارماً يتجاوز مجرد تثبيت مضاد للفيروسات. إليكم أبرز الخطوات الوقائية:

• تحديث أنظمة التخزين الشبكي (مثل Synology وEgnyte) إلى أحدث إصدارات الأمان فور توفرها.
• تفعيل المصادقة متعددة العوامل (MFA) على جميع حسابات المسؤولين والوصول إلى VPN.
• مراقبة سجلات الوصول إلى الشبكة بحثاً عن أي نشاط غير معتاد من عناوين IP غير معروفة.
• استخدام أنظمة كشف التسلل المتقدمة لرصد تقنيات (Living-off-the-land) التي تعتمد على الأدوات الشرعية في الهجوم.

في الختام، يظهر هذا التهديد أن المهاجمين السيبرانيين يطورون أدواتهم باستمرار لاستهداف الأنظمة التي كانت تُعتبر سابقاً أكثر أماناً، مما يفرض على المؤسسات تبني استراتيجية "الثقة الصفرية" لحماية أصولها الرقمية.