كشفت تقارير أمنية حديثة عن قيام مجموعة تجسس سيبراني خطيرة تُعرف باسم UAT-7290 باستهداف شركات الاتصالات الحيوية والبنى التحتية الأساسية في جنوب آسيا، وذلك منذ العام 2022 على الأقل.
تُظهر هذه المجموعة، التي يُعتقد أن لديها صلات واضحة بالحكومة الصينية، نمطًا متزايدًا من النشاط العدواني، مما يشكل تهديدًا كبيرًا لشبكات الاتصالات الحيوية في المنطقة.
وسعت UAT-7290 نطاق عملياتها مؤخرًا لتشمل مناطق في جنوب شرق أوروبا، مما يؤكد على طموحها المتنامي وقدرتها على التوسع جغرافيًا.
UAT-7290: تهديد متزايد للبنية التحتية الحيوية
وفقًا لتحليلات باحثي Cisco Talos، تعتمد UAT-7290 على منهجية منظمة ودقيقة لاختراق الأنظمة المستهدفة.
تبدأ المجموعة بمرحلة تخطيط واستطلاع فني معمق لفهم نقاط ضعف أهدافها قبل الشروع في الهجمات الفعلية.
تستخدم المجموعة مزيجًا من أساليب الاختراق، تشمل استغلال الثغرات الأمنية المعروفة وتنفيذ هجمات القوة الغاشمة على الأنظمة المكشوفة للإنترنت.
من جهة أخرى، تعمل UAT-7290 كموفر وصول أولي (Initial Access Provider)، مما يعني أنها تقوم بإنشاء ثغرات في الأنظمة يمكن لمجموعات قرصنة أخرى استغلالها لاحقًا لتنفيذ عملياتها الخاصة.
أدوات وتقنيات متقدمة
يتضمن صندوق أدوات UAT-7290 برمجيات خبيثة متطورة مصممة خصيصًا للعمل على أنظمة لينكس، التي تشغل العديد من أجهزة الشبكات الطرفية.
تشمل عائلات البرمجيات الخبيثة التي تم تتبعها من قبل Cisco Talos: RushDrop، وهو برنامج تسليم يبدأ عملية الإصابة؛ وDriveSwitch، الذي يساعد في تنفيذ البرنامج الضار الرئيسي؛ وSilentRaid، وهو البرنامج المركزي الذي يحافظ على الاتصال المستمر.
تُبرز هذه الأدوات مدى التطور التقني للمجموعة وتركيزها على تحقيق سيطرة عميقة على الشبكات المخترقة.
عملية الإصابة المتدرجة
تكشف عملية الإصابة عن براعة المجموعة التقنية، حيث يقوم RushDrop عند تشغيله على نظام ما بإجراء فحوصات للتأكد مما إذا كان يعمل على جهاز حقيقي أم بيئة اختبار لتجنب الكشف.
إذا اجتازت الفحوصات، يقوم RushDrop بإنشاء مجلد مخفي باسم “.pkgdb” ويقوم بفك ضغط ثلاثة مكونات في هذا الموقع.
تشمل هذه المكونات استخلاص “chargen”، وهو برنامج SilentRaid الخفي، بالإضافة إلى “busybox”، وهي أداة لينكس شرعية يمكنها تنفيذ الأوامر على النظام.
تُظهر هذه الخطوات المتسلسلة كيف يقوم المهاجمون بإخفاء أدواتهم والحفاظ على السيطرة دون إثارة الشكوك الأولية.
السيطرة والاتصال المستمر
يعمل SilentRaid من خلال نظام يعتمد على وحدات نمطية (Plugins) تمنح المهاجمين قدرات متعددة، مثل فتح نوافذ أوامر عن بعد، وإعادة توجيه منافذ الإنترنت، وإدارة الملفات على الأنظمة المصابة.
عند بدء تشغيل SilentRaid، يتواصل مع خادم التحكم الخاص به باستخدام اسم نطاق وخدمة DNS العامة لـ Google (8.8.8.8) لتحديد عنوان الخادم.
يساعد هذا الأسلوب في الاتصال البرمجية الخبيثة على إخفاء أنشطتها ضمن حركة مرور الإنترنت العادية، مما يجعل اكتشافها أصعب على المدافعين عن الشبكات.
يسمح نظام الوحدات النمطية للمهاجمين بتخصيص هجماتهم ودمج أدوات مختلفة أثناء عملية التجميع، مما يمنحهم المرونة لتكييف هجماتهم مع كل هدف على حدة.