كشفت تقارير أمنية حديثة عن توسع ملحوظ لمجموعة Ink Dragon، وهي جهة تجسس صينية، حيث امتدت عملياتها من جنوب شرق آسيا وأمريكا الجنوبية لتشمل شبكات حكومية أوروبية. يشير هذا التوسع إلى تطور استراتيجي للمجموعة، التي تستخدم مزيجاً متطوراً من الأدوات التقنية العالية وتقنيات تحاكي الأنشطة الاعتيادية للشركات.
تتبنى المجموعة نهجاً منظماً ومدروساً في عملياتها، مما يتيح لها تحقيق وصول طويل الأمد إلى الشبكات المستهدفة دون الكشف عنها لفترات طويلة. تظهر حملة البرمجيات الخبيثة التي تديرها فهماً عميقاً للبنية التحتية للشبكات والإجراءات الإدارية.
Ink Dragon: توسع العمليات وطرق الاختراق
تبدأ المجموعة عادة بتحديد نقاط الضعف في الأنظمة المتاحة للجمهور، خاصة خوادم الويب مثل Microsoft Internet Information Services (IIS) ومنصات SharePoint. غالباً ما تنتج هذه الثغرات الأولية عن أخطاء بسيطة في التهيئة، مما يمنح المجموعة وصولاً كافياً لزرع الشفرات الخبيثة بأقل قدر من خطر الكشف.
بعد تأسيس موطئ قدمها الأولي، تتحرك الجهات الفاعلة بدقة محسوبة. وفقًا لمحللي Check Point، تستغل Ink Dragon بيانات الاعتماد المسروقة وجلسات المسؤولين الخاملة للتنقل عبر الشبكات المخترقة. تقوم المجموعة بجمع بيانات الاعتماد المحلية من نقطة الدخول الأولية، وتحديد جلسات المسؤول النشطة، وإعادة استخدام حسابات الخدمة المشتركة للانتقال جانبياً عبر الأنظمة مع الحفاظ على مظهر شرعي. يضمن هذا النهج أن حركتها تمتزج بسلاسة مع حركة مرور المسؤول العادية.
تحويل الخوادم المخترقة إلى نقاط إعادة توجيه
يتضمن جانب متقدم بشكل خاص في عملية Ink Dragon تحويل الخوادم المخترقة إلى عقد وسيطة لإعادة التوجيه. تعمل هذه الأنظمة على تمرير الأوامر والبيانات بين الضحايا المختلفين، مما يخلق شبكة اتصال تخفي المصدر الحقيقي للهجوم. هذا الأسلوب يعزز شبكة القيادة الأوسع للمجموعة ويجعل اكتشاف المدافعين أكثر صعوبة بشكل كبير، حيث تبدو حركة المرور وكأنها نشاط روتيني عبر المؤسسات.
يمثل صندوق الأدوات المتطور للمجموعة، وخاصة النسخة المحدثة من برنامج FinalDraft الخبيث، تقدماً تقنياً هاماً. يدمج هذا الأداة الآن مع خدمات Microsoft السحابية، ويخفي حركة مرور الأوامر ضمن مسودات البريد الإلكتروني العادية لتبدو كأنها استخدام يومي للخدمات الشرعية. تتضمن أحدث نسخة آليات توقيت مضبوطة تتوافق مع أنماط الأعمال العادية، وقدرات نقل بيانات فعالة لنقل الملفات الكبيرة بهدوء، وتوصيفاً تفصيلياً للنظام لتزويد المشغلين برؤية شاملة لكل جهاز مخترق.
من الملاحظ أن باحثي Check Point اكتشفوا أن جهة فاعلة أخرى، تُعرف باسم RudePanda، قد اخترقت في وقت واحد العديد من الشبكات الحكومية المتطابقة. يكشف هذا التداخل كيف أن ثغرة أمنية واحدة غير مصححة يمكن أن تصبح نقطة دخول للعديد من الجهات الفاعلة المتقدمة، كل منها يعمل بشكل مستقل داخل نفس البيئة. أصبح فهم سطح الهجوم المشترك هذا أمراً بالغ الأهمية لمحترفي الأمن السيبراني المكلفين بمنع حوادث مماثلة.