كشفت شركة جوجل عن تفكيك حملة تجسس إلكتروني واسعة النطاق، طالت 53 جهة اتصالات حكومية وغير حكومية في 42 دولة حول العالم. وتُعزى هذه الحملة إلى مجموعة قراصنة مرتبطة بجهات صينية، والتي نجحت في اختراق أنظمة هذه الجهات لمدة تقارب عقداً من الزمان.
قامت جوجل، من خلال فرقها المتخصصة في استخبارات التهديدات (GTIG) و Mandiant، باتخاذ إجراءات متزامنة لإنهاء هذه العملية التخريبية. تهدف هذه الخطوات إلى قطع وصول المجموعة المخترقة بشكل دائم، بالإضافة إلى تزويد المنظمات المتضررة بالمعلومات اللازمة للكشف عن أي اختراقات متبقية والاستجابة لها.
تفكيك عملية تجسس ترتبط بجهات صينية
أعلنت جوجل عن إحباط عملية تجسس سيبراني عالمية، يُعتقد أن الجهة المسؤولة عنها مرتبطة بجمهورية الصين الشعبية. وقد رصدت فرق استخبارات التهديدات التابعة لجوجل هذه المجموعة منذ عام 2017. وبحسب البيانات الصادرة في 18 فبراير 2024، تأكد اختراق 53 جهة في 42 دولة، مع اشتباه في تعرض 20 دولة أخرى في أفريقيا وآسيا والأمريكتين لذات الهجمات.
هذا النطاق الواسع يعكس جهوداً دقيقة ومنظمة استمرت لحوالي عقد من الزمان، تركزت على البنية التحتية الحيوية للاتصالات حول العالم. وتشير التقارير إلى أن هذه الحملة استخدمت تقنيات مبتكرة لإخفاء نشاطها، مما جعل اكتشافها صعباً للغاية.
تقنية GRIDTIDE المبتكرة
كانت الحملة تتركز حول برنامج خبيث غير موثق سابقاً، يُعرف باسم GRIDTIDE. اللافت في هذا البرنامج هو استخدامه لبرنامج Google Sheets كقناة اتصال، بدلاً من الاعتماد على خوادم قيادية مخصصة. ويعتبر ذلك طريقة مبتكرة لإخفاء حركة البيانات الضارة ضمن نشاطات سحابية طبيعية، مما يصعب على الدفاعات الشبكية التقليدية اكتشافها.
من جهة أخرى، لم يتم رصد أي ارتباط علني بين هذه المجموعة ومجموعات أخرى مثل Salt Typhoon. فهي تستهدف جهات مختلفة تماماً، وتستخدم أساليب وأدوات وإجراءات مميزة خاصة بها.
آلية الاختراق والانتشار
تمكن محللو جوجل كلود من تحديد GRIDTIDE بعد أن أشارت تحقيقات Mandiant إلى سلوك مشبوه على خادم Linux يعود لأحد العملاء. ظهر ملف ثنائي باسم /var/tmp/xapt، والذي تم تصميمه ليبدو كأداة نظام عادية. نجح هذا الملف في الحصول على صلاحيات الجذر وبدأ بتنفيذ أوامر للتحكم الكامل بالجهاز.
كان اسم الملف xapt مقصوداً لانتحال اسم أداة إدارة الحزم القديمة في أنظمة Linux المبنية على Debian، بهدف التضليل.
وبينما لم يتم تأكيد طريقة الوصول الأولية بدقة، فإن تاريخ المجموعة يشير إلى استهداف خوادم الويب المكشوفة على الإنترنت وأجهزة الشبكات الطرفية. بمجرد الدخول، اعتمدت المجموعة على أدوات النظام المدمجة للتحرك داخل الشبكة، وهو ما يُعرف بتقنية “العيش على موارد النظام”، متجنبة بذلك تحميل برامج جديدة قد تثير تنبيهات أمنية.
شملت الأنظمة المستهدفة الأجهزة التي تحتوي على معلومات تعريف شخصية، مثل الأسماء وأرقام الهواتف وأرقام الهوية الوطنية وسجلات تسجيل الناخبين، بما يتفق مع أولويات جمع المعلومات الاستخباراتية للصين.
استمرارية GRIDTIDE والتحكم والسيطرة
بعد تأمين الوصول، قامت المجموعة بتثبيت GRIDTIDE عبر تسجيل خدمة systemd في المسار /etc/systemd/system/xapt.service. وعمل البرنامج الخبيث باستخدام الأمر nohup، مما يضمن استمراره في العمل حتى بعد انتهاء جلسة المهاجم. كقناة اتصال ثانوية، قامت المجموعة بنشر SoftEther VPN Bridge، مما فتح نفقًا مشفرًا للخارج باتجاه بنية تحتية خارجية.
يعتبر GRIDTIDE برنامج باب خلفي مكتوب بلغة C، وقادر على تنفيذ أوامر shell، وتحميل الملفات إلى الأجهزة المخترقة، واستخراج البيانات. يستخدم مفتاح تشفير AES-128 بحجم 16 بايت لفك تشفير إعدادات Google Drive الخاصة به، والتي تحتوي على بيانات اعتماد حساب الخدمة ومعرف جدول البيانات اللازمين للوصول إلى مركز التحكم.
بمجرد الاتصال، يقوم بمسح أول 1000 صف في جدول البيانات، ثم يقوم بجمع معلومات عن الجهاز المخترق، بما في ذلك اسم المضيف وإصدار نظام التشغيل وعنوان IP المحلي والمنطقة الزمنية، ويخزن هذه البيانات في الخلية V1. تصل الأوامر عبر الخلية A1، وتعود النتائج من خلال نطاق خلايا محدد. يتم ترميز جميع البيانات في Base64 آمن لـ URL لتجاوز مرشحات الويب وأدوات فحص الشبكة.
يُنصح المنظمات بمراقبة اتصالات HTTPS الصادرة إلى نقاط نهاية Google Sheets API، خاصة الطلبات التي تتضمن batchClear و batchUpdate، و valueRenderOption=FORMULA، من العمليات غير المتصفحية. يجب على فرق الأمن أيضاً التحقق من خدمات systemd في أدلة غير متوقعة، والملفات الثنائية التي تعمل من /var/tmp/، ومكونات SoftEther VPN على خوادم Linux. سيساعد تطبيق قاعدة YARA المنشورة من GTIG لـ GRIDTIDE، ومقارنة قائمة المؤشرات (IOC) التي تم إصدارها مع السجلات الداخلية، في تأكيد ما إذا كان هناك أي تعرض متبقٍ من هذه الحملة.