تعتبر مجموعة PlushDaemon من أبرز الجهات الفاعلة في مجال الأمن السيبراني، حيث تستخدم تقنيات متقدمة لاختطاف تحديثات البرمجيات.
على مدى أكثر من نصف عقد، كان هناك جهة تهديد مرتبطة بالدولة الصينية تتجسس على المنظمات الصينية من خلال إصابة تحديثات البرمجيات الموثوقة لديها.
عندما تم الكشف عن اختراق SolarWinds في عام 2020، قد يبدو أنه حدث خبيث بشكل فريد في تاريخ الأمن السيبراني. ولكن المهاجمين السيبرانيين وباحثي الأمن السيبراني كانوا يجدون طرقًا جديدة لتسميم تحديثات البرمجيات منذ ذلك الحين.
تعتبر مجموعة “PlushDaemon” واحدة من تلك المجموعات التي كانت تتبع نهجها الخاص في اختطاف التحديثات. كما تفعل العديد من التهديدات المستمرة المتقدمة (APTs) الصينية، فإنها تصيب المنظمات من خلال أجهزة الحافة. ولكن على عكس معظم APTs التي تستخدم أجهزة الحافة كنقاط دخول أولية للاختراق الأعمق في الشبكة، وجدت الأبحاث في ESET أن PlushDaemon تستخدمها بطريقة مختلفة. فهي تختطف حركة المرور الشبكية باستخدام زرع مصمم خصيصًا، وتعيد توجيه طلبات تحديث البرمجيات الشرعية إلى بنيتها التحتية الخاصة، ثم تقدم للضحايا بدائل خبيثة.
استخدام أجهزة الحافة لتقديم تحديثات برمجية خبيثة
لا تبدأ هجمات PlushDaemon بشكل فريد. كل ما تحتاجه هو إصابة جهاز توجيه أو جهاز مشابه في مسار دخول وخروج الشبكة، من خلال ثغرة برمجية أو استغلال بيانات اعتماد إدارية قابلة للتخمين أو افتراضية. إذا تمكنت من الدخول، ستقوم بنشر برمجياتها الخبيثة المعروفة باسم “EdgeStepper”.
تم كتابة EdgeStepper بلغة Go، وتم تجميعه كملف تنفيذي ورابط (ELF)، وتم بناؤه خصيصًا لمعالجات MIPS32. على الرغم من أنها تراجعت في السنوات الأخيرة، كانت MIPS قريبة من الانتشار في العقدين الأولين من الألفية، وما زالت شائعة في أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) التي تستخدمها PlushDaemon كسلاح.
يجلس EdgeStepper بين الضحية والمواقع التي تنوي الوصول إليها. عندما يقوم الضحية بعمل استعلام نظام أسماء النطاقات (DNS)، فإن البرمجيات الخبيثة – التي تجلس على حافة شبكتهم – تعترضه وتعيد توجيهه إلى بنية PlushDaemon التحتية.
لا تهم PlushDaemon معظم المواقع، ولن يحدث شيء خاص. إنها تبحث فقط عن الطلبات التي تنتجها بعض المنتجات البرمجية الصينية الشائعة: محرر إدخال Sogou Pinyin، خدمة التخزين السحابي Baidu Netdisk، برنامج المراسلة الفورية متعدد الأغراض Tencent QQ، ومجموعة المكتب المجانية WPS Office. إذا حدث أن أحد هذه التطبيقات يقدم طلبًا للموقع الذي يسحب منه التحديثات، سيقوم EdgeStepper باستبدال عنوان IP الخاص بالموقع الشرعي بعنوان IP خاص بـ PlushDaemon، حيث ينتظر تحميل خبيث.
بعد عدد من برامج التحميل المتوسطة، سيقوم الضحية في النهاية بتحميل الباب الخلفي المخصص لـ PlushDaemon المعروف باسم “SlowStepper”. SlowStepper هو باب خلفي معياري يحتوي على مجموعة متنوعة من المكونات لسرقة كلمات المرور، والملفات المحلية، وملفات تعريف الارتباط الخاصة بالمتصفح، ومجموعة من البيانات المرتبطة بـ WeChat، ولقطات الشاشة.
أسرار تحيط بـ PlushDaemon
تظل بعض الأسئلة تحيط بـ PlushDaemon. على سبيل المثال، لم تتمكن ESET من تحديد سبب تجسس APT مرتبط بالدولة الصينية على منظمات صينية في الغالب.
تواجد معظم ضحايا PlushDaemon في البر الرئيسي للصين أو هونغ كونغ، مثل أحد مصنعي الإلكترونيات التايوانيين الموجودين في البر الرئيسي، وجامعة في بكين. وقد جاءت أهداف أخرى من تايوان، وكمبوديا، ونيوزيلندا، والولايات المتحدة. حتى في تلك الحالات، ومع ذلك، استهدفت المجموعة برامج برمجية صينية بشكل نموذجي، مما يشير إلى أن هؤلاء الضحايا قد يكونون أيضًا بطريقة ما صينيين.
كما أنه من الغموض لماذا، بخلاف تقرير واحد من ESET العام الماضي، ظلت PlushDaemon تحت الرادار لفترة طويلة. على الرغم من أنها نشطة منذ عام 2018 على الأقل – ونظام تحديث البرمجيات الخاص بها منذ عام 2019 – إلا أنها بالكاد تجذب الانتباه الذي تجذبه APTs الصينية الأقل شهرة.
ما هو أسهل للفهم حول PlushDaemon هو كيفية إيقافها. يوصي باحث البرمجيات الخبيثة في ESET، فاكندو مونيز، بالتركيز على المرحلة الأولى من سلسلة الهجوم – الجزء الأكثر بساطة، قبل أن تبدأ أفضل حيل المهاجم.
“ما نوصي به المدافعين هو”، كما يقول، “أن يكونوا واعين للثغرات في الأجهزة الموجودة في شبكاتهم، وأن يحاولوا التحقق من بيانات اعتمادهم بحثًا عن الثغرات. هذا كل شيء.”
للحماية من هجمات PlushDaemon، يجب على المؤسسات تعزيز أمان أجهزتها والتأكد من تحديث بيانات الاعتماد بشكل دوري.
