وكالة الأمن السيبراني الفرنسية تكشف حملة تجسس صينية استهدفت مؤسسات حكومية وإعلامية عبر ثغرات Ivanti
أعلنت الوكالة الوطنية لأمن نظم المعلومات في فرنسا (ANSSI)، يوم الثلاثاء، أن عددًا من الجهات الحكومية ومؤسسات في مجالات الاتصالات والإعلام والمالية والنقل قد تعرضت لهجوم إلكتروني واسع النطاق، تقف خلفه مجموعة اختراق صينية استغلت ثغرات أمنية خطيرة من نوع Zero-Day في أجهزة Ivanti Cloud Services Appliance (CSA).
حملة “Houken”: أساليب متقدمة وأدوات مفتوحة المصدر
أطلقت ANSSI اسم Houken على مجموعة التسلل التي تم تحديدها بداية من سبتمبر 2024، مشيرةً إلى وجود تشابه جزئي مع مجموعة UNC5174 التي تتابعها Google Mandiant، والمعروفة أيضًا باسم Uteus.
تتميز هذه المجموعة باستخدام:
-
ثغرات يوم الصفر لاستغلال الأنظمة.
-
Rootkits متطورة.
-
أدوات مفتوحة المصدر طورها مطورون ناطقون بالصينية.
-
بنية هجوم تشمل خوادم مخصصة وVPN تجارية.
نموذج عمل متطور من ثلاث مراحل
وفقًا لتحليل HarfangLab، تتبع مجموعة Houken نموذج عمل تشاركي يتم عبر ثلاث مراحل:
-
طرف أول يكتشف الثغرات.
-
طرف ثانٍ يستخدمها على نطاق واسع لاختراق الأنظمة.
-
يتم بيع أو مشاركة الوصول مع أطراف ثالثة تُنفّذ أنشطة لاحقة (تجسس، تنقيب عملات، جمع بيانات…).
تقنيات الاختراق المستخدمة في الحملة
استغلت مجموعة Houken ثلاث ثغرات أمنية في أجهزة Ivanti:
-
CVE-2024-8963
-
CVE-2024-9380
-
CVE-2024-8190
وقد استخدموا ثلاث تقنيات للسيطرة:
-
تثبيت Web Shells مكتوبة بلغة PHP.
-
تعديل سكربتات PHP موجودة وحقن قدرات تحكم عن بُعد.
-
تثبيت وحدة Kernel Rootkit باسم
sysinitd.ko.
أدوات وأكواد خبيثة رُصدت في الهجوم
-
Behinder وneo-reGeorg: أدوات تحكم عن بُعد (Web Shells).
-
GOREVERSE: نسخة معدّلة من GoReShell.
-
suo5: أداة بروكسي HTTP لتمرير الأوامر.
-
sysinitd.ko + sysinitd: وحدات خبيثة تعمل على اختطاف كافة الاتصالات عبر TCP وتنفيذ أوامر بحقوق root.
هذه الأدوات مكّنت المهاجمين من الحفاظ على وجود دائم داخل الأنظمة، وتنفيذ أوامر على مستوى النظام بأعلى صلاحيات.
دوافع متشابكة: تجسس، هيمنة، وربح مالي
كشفت ANSSI أن الهجمات:
-
وقعت ضمن نطاق المنطقة الزمنية +8 UTC (زمن الصين الرسمي).
-
شملت أهدافًا في آسيا، أوروبا، ومنظمات غير حكومية داخل الصين وهونغ كونغ.
-
استهدفت الحكومات، الدفاع، الإعلام، التعليم، والاتصالات.
وفي بعض الحالات، استُخدم الوصول المكتسب لتثبيت برامج تعدين العملات الرقمية، ما يشير إلى دوافع مالية إلى جانب التجسس.
كيان خاص يعمل لصالح جهات متعددة؟
تعتقد الوكالة أن الجهة وراء Houken وUNC5174 قد تكون:
“كيانًا خاصًا يبيع نقاط الدخول والبيانات القيّمة إلى كيانات مرتبطة بالدولة، مع تنفيذ عمليات لتحقيق مكاسب مالية ذاتية.”
خطوات وقائية مطلوبة
-
مراقبة وتحديث أجهزة Ivanti CSA بشكل فوري.
-
التحقق من وجود ملفات مثل
sysinitd.koأو سكربتاتinstall.sh. -
فحص السجلات لوجود أدوات مثل
BehinderوGOREVERSE.
المصدر:- The Hacker News
