في السنوات الأخيرة، شهدت آسيا زيادة ملحوظة في الهجمات السيبرانية، حيث تستهدف مجموعات تهديد معروفة قطاعات حيوية مثل الطاقة والطيران. في هذا المقال، نستعرض التهديدات السيبرانية الصينية التي تتربص بهذه القطاعات وكيف يمكن الدفاع ضدها.
لقد كان هناك تهديد يتحدث اللغة الصينية يهاجم قطاعات البنية التحتية الحيوية في آسيا من خلال هجمات التجسس السيبراني لسنوات، مستخدمًا مزيجًا من البرمجيات الخبيثة المخصصة، والأدوات مفتوحة المصدر، والبرمجيات التي تعيش على الأرض عبر بيئات Windows وLinux.
تستهدف مجموعة التهديد، المعروفة باسم CL-UNK-1068، قطاعات الطيران والطاقة والحكومة وإنفاذ القانون والصناعات الدوائية والتكنولوجيا والاتصالات في جنوب وجنوب شرق وشرق آسيا منذ عام 2020 على الأقل، وفقًا لتقرير حديث من وحدة 42 في Palo Alto Networks.
“باستخدام أدوات مفتوحة المصدر في المقام الأول، والبرمجيات الخبيثة المشتركة من المجتمع، والبرمجيات النصية، تمكنت المجموعة من الحفاظ على عملياتها بسرية أثناء اختراق المنظمات الحيوية،” كتب توم فاكترمان من وحدة 42 في المنشور.
يكتسب المهاجمون الوصول الأولي عبر استغلال خوادم الويب ونشر مجموعة متنوعة من الأصداف الويب، بما في ذلك صدفة GodZilla ونسخة من AntSword. بعد الحصول على موطئ قدم أولي، يستخدم المهاجمون هذه الأصداف للتحرك بشكل جانبي إلى مضيفين إضافيين وخوادم SQL.
الهدف النهائي من الهجمات هو سرقة بيانات الاعتماد واستخراج البيانات الحساسة من قبل المهاجم الذي لم يتم تحديده بعد، والذي تعتقد وحدة 42 أنه مرتبط بالصين بناءً على استخدامهم للغة، وأصل أدواتهم، و”استهدافهم المستمر والطويل الأمد للبنية التحتية الحيوية في آسيا،” كما أشار فاكترمان.
قدرات الهجمات السيبرانية عبر الأنظمة الأساسية
في منهجية الهجوم الخاصة بهم، تُظهر المجموعة تنوعًا في كيفية عملها عبر بيئات Windows وLinux، “باستخدام إصدارات مختلفة من مجموعة أدواتهم لكل نظام تشغيل،” وفقًا لوحدة 42.
“بينما تشير التركيزات على سرقة بيانات الاعتماد واستخراج البيانات الحساسة من البنية التحتية الحيوية وقطاعات الحكومة بقوة إلى دافع تجسسي، لا يمكننا بعد استبعاد النية الإجرامية،” أضاف فاكترمان.
بمجرد أن يقوم المهاجم باختراق نظام، يقوم بإجراء استطلاع وتصعيد الامتيازات باستخدام مجموعة متنوعة من الأدوات، بما في ذلك استخدام الأصداف الويب المذكورة سابقًا للتحرك جانبيًا.
ثم تقوم CL-UNK-1068 بسرقة بيانات الاعتماد باستخدام أدوات مثل Mimikatz، التي تقوم بتفريغ كلمات المرور من الذاكرة، وLsaRecorder، التي تلتقط أيضًا كلمات المرور، وفقًا للتقرير. كما يقوم المهاجم أيضًا بنشر DumpIt، وهي أداة تحقيق متعددة المنصات مجانية، بالتزامن مع إطار عمل Volatility المعروف لاستخراج هاشات كلمات المرور من الذاكرة.
أداة أخرى في ترسانة CL-UNK-1068 هي أداة مسح الشبكة المخصصة المعتمدة على Go والمسمى ScanPortPlus، والتي تم تطوير إصدارات لكل من Linux وWindows، وفقًا للتقرير.
للحفاظ على الاستمرارية وتجنب الكشف، يعتمد المهاجم بشكل كبير على تقنيات خفية متنوعة، بما في ذلك تحميل DLL الجانبي من خلال برامج Python الشرعية. وهذا يسمح للحمولات الخبيثة بالتنفيذ تحت العمليات الموثوقة، كما أوضح فاكترمان.
علاوة على ذلك، للحفاظ على الوصول إلى القيادة والتحكم (C2) وتجاوز ضوابط الشبكة، يقوم المهاجم أيضًا بنشر إصدارات معدلة من Fast Reverse Proxy (FRP) وأحيانًا يقوم بتثبيت الباب الخلفي Xnote على Linux.
كيفية الدفاع ضد التهديد السيبراني الصيني
على الرغم من أن وحدة 42 لم تحدد المهاجم بشكل قاطع، فإن بعض استهدافه وأنشطته الخفية تذكرنا بالمهاجم الصيني القوي Salt Typhoon، الذي استهدف بشكل سيء وبدون اكتشاف على الأقل تسع شركات اتصالات أمريكية لفترة طويلة بما يكفي للتنصت على التنصت على اتصالات إنفاذ القانون الأمريكية والحملات الرئاسية.
بالفعل، تمتلك الصين العديد من الجهات الفاعلة المدعومة من الدولة التي تقوم بتنفيذ حملات تجسسية وتحفيزية مالية نيابة عنها. فقط الأسبوع الماضي، كشف الباحثون من Check Point عن نسخة جديدة موثقة من APT41 تُدعى “التنين الفضي”، والتي كانت تستهدف أيضًا آسيا في حملة طويلة.
لصد هذه التهديدات المستمرة المتقدمة، توصي وحدة 42 بأن يولي المدافعون اهتمامًا لـ “الأنماط السلوكية الشاذة” المرتبطة بكل مجموعة. للمساعدة في ذلك، يوجد قائمة طويلة من مؤشرات الاختراق (IoCs) المدرجة في التقرير.
في حالة CL-UNK-1068، تشمل بعض العلامات الرئيسية التي ينبغي على المنظمات السعي لرصدها في اكتشافاتها سوء استخدام الثنائيات الشرعية لـ Python للتحميل الجانبي، ونشر أدوات النفق غير المصرح بها مثل FRP، وتنفيذ برامج نصية مخصصة للاستطلاع.
قال فاكترمان إن فرق الأمان يجب أيضًا أن تبحث عن أدلة على أدوات تفريغ بيانات الاعتماد مثل Mimikatz، وفحص النشاط غير العادي لضغط RAR وترميز Base64، وتعزيز خوادم الويب المعرضة للإنترنت، ومراقبة نشر الأصداف الويب.
تتطلب مواجهة التهديدات السيبرانية الصينية تعاونًا مكثفًا بين الحكومات والقطاع الخاص. من خلال تعزيز الأمن السيبراني ومراقبة الأنشطة المشبوهة، يمكننا حماية بنيتنا التحتية الحيوية من هذه التهديدات المستمرة.
