في عالم يتزايد فيه التنافس بين القوى الكبرى، تكشف التقارير عن أنشطة تجسس متزايدة بين الدول الصديقة، مثل الصين وروسيا. في هذا المقال، نستعرض تفاصيل حملة التجسس التي تقوم بها مجموعة APT31 الصينية على قطاع تكنولوجيا المعلومات الروسي.
قد يكون هناك جهة تهديد مرتبطة بالدولة الصينية تتجسس على الحكومة الروسية منذ سنوات عبر قطاع تكنولوجيا المعلومات لديها.
على الرغم من كل جمع المعلومات الاستخباراتية العدائية التي تحدث في العالم اليوم، إلا أن هناك أيضًا الكثير من التجسس بين الأصدقاء. تستخدم الدول الصديقة، والدول التي ليست صديقة تمامًا مثل الصين وروسيا، الفضاء السيبراني ضد حلفائها من أجل الحصول على معلومات سياسية أو اقتصادية قيمة، أو اكتساب مزايا في المفاوضات الاستراتيجية، أو ببساطة سرقة التكنولوجيا.
في 20 نوفمبر، قدمت شركة Positive Technologies الروسية للأمن السيبراني تفاصيل عن حملة تجسس طويلة الأمد ضد قطاع تكنولوجيا المعلومات الروسي. الجاني: مجموعة APT31 الصينية المعروفة أيضًا باسم Judgment Panda وTA412 وViolet Typhoon، وهي تهديد مستمر متقدم (APT) يمتد لعقد ونصف، ومعروفة بأدائها للتجسس الصناعي وسرقة الملكية الفكرية ضد آلاف المنظمات حول العالم.
وجد الباحثون أن حيلة APT31 هذه المرة كانت التلاعب المتقدم بالخدمات السحابية الشرعية لأغراض التحكم في العمليات الخبيثة.
إساءة استخدام خدمات السحابة من قبل APT31
تعود أولى الأدلة المعروفة على حملة APT31 ضد قطاع تكنولوجيا المعلومات الروسي إلى نهاية عام 2022، على الرغم من أن الجزء الأكبر من الحملة يبدو أنه حدث في عامي 2024 و2025.
في كثير من النواحي، كانت الهجمات تتطور كما تفعل معظم حملات التجسس الصينية: قامت APT31 بتوزيع رسائل بريد إلكتروني تصيد مستهدفة مع ملفات أرشيف مرفقة، تحتوي على مستندات خداعية وبرامج ضارة، تم تنفيذها في أنظمة الضحايا باستخدام تحميل مكتبة الارتباط الديناميكي (DLL).
تستخدم APT31 كل من البرمجيات التجارية وبرامج البرمجيات الضارة المخصصة لمراحل مختلفة من سلسلة الهجوم. على سبيل المثال، يمكن للمجموعة سرقة بيانات المصادقة الخاصة بالضحايا باستخدام أداة تستخرج البيانات من Google Chrome وMicrosoft Edge، وأخرى تبحث في الملفات المحلية، وثالثة تقوم بجمع ملاحظات Windows Sticky Notes، في حال ترك الضحايا كلمات مرورهم على ملاحظات رقمية بدلاً من ملاحظات فعلية.
الأهم من ذلك، أن APT31 تستخدم مجموعة متنوعة من الأبواب الخلفية المخصصة لنظام تشغيل الضحية – حيث تتطلب أنظمة Windows وLinux خيارات مختلفة – ووسائلها الخاصة للتواصل مع C2. على سبيل المثال، يستخدم بابها الخلفي “OneDriveDoor” Microsoft OneDrive للتواصل مع C2، لكن “CloudSorcerer” يمكنه استخدام OneDrive أو Dropbox أو خدمة Yandex Cloud الروسية. أداة “YaLeak” الخاصة بها تستخدم خدمة Yandex Cloud الروسية لاستخراج البيانات، وأحدث برمجياتها “VtChatter” تستخدم نظام التعليقات على منصة VirusTotal (VT) كقناة C2 سرية.
يأسف مؤسس Bugcrowd، كيسي إليس، لمدى صعوبة منع المتسللين من استغلال الخدمات السحابية الشرعية لإخفاء أنشطتهم الخبيثة. “بخلاف اللعب بلعبة ضرب الفئران عندما تظهر حملة مثل هذه، هناك القليل جدًا مما يمكن أن تفعله خدمات السحابة لمنع هذا النوع من إساءة استخدام C2،” يشرح. “هذا استغلال متعمد للتصميم المقصود، والحقيقة أنه يمر تحت الرادار لهذا السبب يتم استغلاله بشكل متعمد من قبل الجهات الفاعلة في التهديد. هذا النوع من C2 يصعب منعه بشكل ملحوظ، بخلاف إضافة ميزات خشنة مثل حظر المناطق الجغرافية بالكامل، أو إغلاق الخدمة بالكامل.”
تجسس تجاري أم حكومي؟
تشير بعض الأدلة الظرفية إلى أن حملة APT31 قد تكون مستهدفة لأكثر من مجرد شركات تكنولوجيا المعلومات، وبيانات تجارية، وربما أبعد من روسيا.
من المهم أن تكون هجماتها مركزة ليس فقط ضد قطاع تكنولوجيا المعلومات الروسي بشكل عام، ولكن ضد المقاولين ومتكاملين حلول تكنولوجيا المعلومات للوكالات الحكومية بشكل خاص. وقد استخدمت روسيا نفسها هذا النهج الخلفي لاختراق الحكومة الأمريكية في الماضي.
كما رصد الباحثون نسخة من نفس سلسلة هجمات APT31 في بيرو. في تلك الحالة، تم تقديم ضحية غير معروفة لبرمجيات ضارة بجانب مستند خداعي تم تصميمه ليبدو مثل تقرير مالي رسمي من وزارة الخارجية في بيرو – وهو مؤشر أكثر مباشرة على أن APT31 قد تكون تبحث عن ضحايا حكوميين.
يشير سيرتس فوستر، كبير قادة صائدي التهديدات في Deepwatch، إلى أنه يمكن أن يكون من الصعب فصل التجسس السيبراني الحكومي والتجاري القادم من الصين.
“استهداف المقاولين الروس في مجال تكنولوجيا المعلومات يمنح الصين مدخلًا إلى الشبكات الحكومية المحصنة،” يقول. “لا تزال روسيا تمتلك تقنيات فضائية ودفاعية ونووية قيمة تسعى الشركات المملوكة للدولة الصينية للحصول على ميزة تنافسية. مع فرض العقوبات الغربية التي تحد من خيارات روسيا التكنولوجية، ترغب الصين أيضًا في معرفة البدائل التي تطورها روسيا في الظل. تblur الخطوط بين التجسس وسرقة الشركات تمامًا هنا لأنه، في رأيي، الدولة الصينية والشركات الكبرى هي نفس الكيان.”
تظل الأنشطة التجسسية بين الدول الصديقة مصدر قلق متزايد للأمن السيبراني العالمي. من المهم أن تظل الدول متيقظة وأن تتعاون في مواجهة هذه التهديدات المتزايدة.
