كشفت دراسة حديثة عن تفاصيل مقلقة جديدة حول حملة تجسس إلكتروني مستمرة، يُشتبه في دعمها من قبل الحكومة الصينية، مما يسلط الضوء على كيفية اكتشاف مثل هذه الهجمات غالباً بعد تسببها في أضرار جسيمة. وتُظهر التطورات تطوراً متزايداً في أساليب التهديدات السيبرانية، وتؤكد على الحاجة الماسة لتعزيز إجراءات الأمن الرقمي.
أعلنت مجموعة Google Threat Intelligence Group وفريق Mandiant أن مجموعة التهديدات الصينية “UNC6201” تستغل ثغرة أمنية “يوم الصفر” في منتج Dell RecoverPoint for Virtual Machines منذ منتصف عام 2024 على الأقل. وترتبط هذه المجموعة جيداً بالتهديد المعروف باسم “UNC5221″، أو “Silk Typhoon”، الذي يتغلغل في شبكات البنية التحتية الحيوية والهيئات الحكومية دون اكتشاف منذ عام 2022 على الأقل.
حملة التجسس الصيني وتطور التهديدات
يمثل استغلال ثغرة “يوم الصفر” تصعيداً ملحوظاً من قبل هذا الفريق. فبعد سنوات من زراعة برمجيات خبيثة مثل “Brickstorm” في الشبكات، تم اكتشاف الحملة الصيف الماضي. وبحلول سبتمبر، استبدل المهاجمون “Brickstorm” ببرنامج “Grimbolt” الأكثر تقدماً وصعوبة في الكشف، وفقاً لباحثي الأمن في جوجل.
تعتمد ثغرة “يوم الصفر”، المعروفة بالرقم CVE-2026-22769، على كلمة مرور إدارية ثابتة في Dell RecoverPoint for Virtual Machines، تم سحبها من Apache Tomcat. وتحمل هذه الثغرة تقييماً عالياً بواقع 10/10 وفقاً لمقياس CVSS. وتستخدم المجموعة الصينية هذه الكلمة المرور، التي تتيح للمهاجمين عن بعد الوصول الكامل للنظام مع استمرارية على مستوى الجذر، وذلك منذ 18 شهراً على الأقل.
من جانبها، كشفت شركة Dell Technologies عن الثغرة وأصدرت تحديثاً لمعالجتها، وحثت العملاء على اتباع الإرشادات الواردة في إشعارها الأمني.
يشير خبراء الأمن، مثل أوستن لارسن، المحلل الرئيسي في GTIG، إلى أنه على الرغم من أن عدد المنظمات المتأثرة حالياً أقل من العشرات، إلا أن النطاق الكامل للحملة لا يزال غير معروف. ويوصي لارسن المنظمات التي استهدفت سابقاً ببرنامج “Brickstorm” بالبحث عن “Grimbolt” في بيئاتها.
عندما كشفت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) عن تفاصيل جديدة حول الحملة في ديسمبر، أشارت جوجل إلى أن عشرات المنظمات الأمريكية، باستثناء الضحايا المتلقين، تأثرت بالفعل بـ “Brickstorm”.
ويضيف لارسن أن “المهاجم لا يزال نشطاً على الأرجح في البيئات غير المحدثة والتي تم تصحيحها، وبما أن الاستغلال مستمر منذ منتصف عام 2024، فقد أتيحت لهم فرصة كبيرة لترسيخ وجودهم وتنفيذ تجسس طويل الأمد”.
وتظل هذه الحملة، التي تعد واحدة من بين جهود متزامنة عديدة من قبل مجموعات ترعاها الدولة الصينية للتغلغل في الشبكات بهدف الوصول طويل الأمد، وتعطيل العمليات، والتخريب المحتمل، مصدر قلق رئيسي للأمن القومي.
جهود الكشف والاستجابة
في الأسبوع الماضي، أصدرت CISA ووكالة الأمن القومي الأمريكية ومركز الأمن السيبراني الكندي تحليلات جديدة حول “Brickstorm” لمشاركة مؤشرات الاختراق التي قد تساعد الضحايا المحتملين في اكتشاف الأنشطة الخبيثة على شبكاتهم.
ومع ذلك، فإن المجموعات المرتبطة بالصين المشاركة في هذه الحملة قد انتقلت بالفعل إلى استخدام “Grimbolt”، وفي بعض الحالات استبدلت برمجيات “Brickstorm” القديمة بالباب الخلفي الجديد الذي يصعب هندسته العكسية، وفقاً لجوجل.
وأفادت مارسي مكارثي، مديرة العلاقات العامة في CISA، بأن الوكالة ستشارك معلومات إضافية حول هذا الموضوع.
وتبرز الأبحاث الجديدة من جوجل حول الحملة التي ترعاها الدولة الصينية مدى ثبات مجموعة التهديدات وقدرتها على البقاء دون اكتشاف في الشبكات لأكثر من 400 يوم، مما يضع المدافعين والسلطات السيبرانية في موقف ضعف.
عادة ما تستهدف مجموعات التهديد التطبيقات والأجهزة الطرفية التي تعمل على أنظمة تفتقر إلى حلول الكشف والاستجابة لنقاط النهاية، لكن الباحثين لا يعرفون كيف تمكن المهاجمون من اختراق شبكات أحدث الضحايا المكتشفين.
ويشير الباحثون إلى أن لديهم رؤية محدودة لأنشطة مجموعات التهديد الكلية.
ويعلق لارسن قائلاً: “نشك في أن جزءاً كبيراً من أنشطة UNC5221 و UNC6201 لا يزال مجهولاً، وهناك احتمال قوي بأنهم يقومون بتطوير أو استخدام ثغرات يوم الصفر وبرمجيات خبيثة غير مكتشفة”. ويضيف: “الجانب الأكثر إثارة للقلق في هذه الحملة هو أنه من المحتمل أن منظمات أخرى قد تم اختراقها كجزء من هذه الحملة ولا تعرف ذلك حتى الآن”.