كشفت تقارير أمنية حديثة عن حملة تجسس سيبراني متطورة وطويلة الأمد، استهدفت منذ عام 2020 على الأقل، مؤسسات عسكرية في منطقة جنوب شرق آسيا. وتُشير التقارير إلى أن هذه الحملة، التي تحمل اسم “CL-STA-1087″، تسعى لجمع معلومات استراتيجية وتشغيلية، مع تركيز كبير على التخفي وتجنب الكشف.
بدأت الحملة في الظهور عندما رصدت أدوات أمنية نشاطاً مشبوهاً لـ PowerShell على أجهزة غير مُدارة ضمن شبكة عسكرية مستهدفة. وسرعان ما أدرك المحققون أن المهاجمين قد تمكنوا من تثبيت موطئ قدم لهم، ويقومون بتشغيل نصوص برمجية ذات تأخير زمني متصلة بخوادم قيادة وتحكم متعددة.
حملة تجسس صينية تستهدف الأنظمة العسكرية في جنوب شرق آسيا
تم تصميم هذه النصوص البرمجية بعناية لتجنب الأنظمة الآلية للكشف عن الأنشطة غير الاعتيادية، من خلال فترات زمنية للنوم تصل إلى ست ساعات بين كل عملية. وقد تمكن محللو PolySwarm من تحديد عينات من الباب الخلفي الرئيسي المستخدم في هذه الحملة، المدعو AppleChris، مؤكدين دوره الفعال في هذه العملية التجسسية.
بعد فترة صمت امتدت لعدة أشهر، عاد المهاجمون لشن هجماتهم، وقاموا بالتحرك جانبياً عبر الشبكات المخترقة. استعان المهاجمون بأدوات مثل Windows Management Instrumentation (WMI) وأوامر .NET الأصلية في ويندوز لنشر برمجيات خبيثة على وحدات التحكم بالمجال، وخوادم الويب، وأجهزة العمل، والأنظمة التنفيذية، وهي أهداف ذات قيمة عالية داخل البيئات العسكرية.
إن التركيز على أنظمة القيادة والتحكم والاتصالات والحواسيب والاستخبارات (C4I)، يكشف عن مدى دقة وتخطيط هذه العملية. ووفقاً لتقرير Unit 42 من Palo Alto Networks، فإن المهاجمين استخدموا ثلاث أدوات رئيسية: AppleChris و MemFun كأبواب خلفية مخصصة، و Getpass، وهو نسخة معدلة من أداة سرقة بيانات الاعتماد Mimikatz المعروفة.
تتوافق أنماط عملياتهم باستمرار مع ساعات العمل العادية في توقيت UTC+8، كما تضمنت البنية التحتية المستخدمة خدمات سحابية مقرها الصين، مع وجود عناصر لغة صينية مبسطة ضمن بيئة القيادة والتحكم.
آليات عمل متقدمة وتخفٍّ مستمر
تم تصميم استراتيجية الثبات التي اتبعها المهاجمون بعناية فائقة. فقد قاموا بإنشاء خدمات ويندوز جديدة، واستغلوا ثغرات DLL Hijacking عبر وضع ملفات DLL خبيثة في دليل system32، وتسجيلها من خلال خدمات ويندوز شرعية للاندماج. هذه الأساليب منحت المهاجمين وجوداً مستقراً وطويل الأمد داخل البيئات المخترقة، مما سمح لهم بالعمل بهدوء في الخلفية دون إثارة الشكوك.
في قلب هذه الحملة، تقف مجموعة من الأدوات المطورة خصيصاً لتحقيق التخفي والدوام. فقد كان AppleChris، الباب الخلفي الرئيسي، يجلب عناوين خوادم القيادة والتحكم ديناميكياً من Pastebin، وفي الإصدارات الأقدم استخدم Dropbox أيضاً. سمح هذا الأسلوب، المعروف بتقنية Dead Drop Resolver (DDR)، للبرنامج الخبيث بجلب بيانات الاتصال المشفرة وقت التشغيل.
تم فك تشفير البيانات المستلمة باستخدام مفتاح RSA-1024 خاص مدمج، مما يعني عدم ترك مؤشرات شبكة ثابتة يمكن للمدافعين اكتشافها. وبمجرد تفعيله بالكامل، دعم AppleChris عمليات الملفات، وإحصاء العمليات، وتنفيذ الأوامر عن بعد عبر رؤوس HTTP مخصصة.
أما الباب الخلفي الثانوي، MemFun، فقد تم بناؤه للعمل بالكامل في الذاكرة، مما يجعل اكتشافه على القرص أمراً بالغ الصعوبة. بدأت سلسلة الإصابة الخاصة به بملف تم إخفاؤه على أنه GoogleUpdate.exe، والذي قام بتشغيل أداة تنزيل في الذاكرة جلبت حمولة DLL نهائية من خادم القيادة والتحكم. استخدم MemFun تقنيات مثل timestomping، و process hollowing داخل dllhost.exe، و reflective DLL loading للبقاء متخفياً، بينما ضمنت مفاتيح Blowfish الخاصة بكل جلسة أن تكون كل عملية تبادل للحمولات مشفرة بشكل فريد.
كانت سرقة بيانات الاعتماد مسؤولية Getpass، الذي كان يقوم بسحب كلمات المرور النصية الواضحة، وتجزئات NTLM، ورموز المصادقة بصمت من عملية lsass.exe. على عكس Mimikatz القياسي، كانت هذه النسخة تعمل تلقائياً وتقوم بحفظ البيانات المسروقة في ملف باسم WinSAT.db، محاكاةً لملف نظام ويندوز شرعي.
تنصح المؤسسات في قطاع الدفاع بتطبيق مراقبة صارمة لنشاط PowerShell و WMI، وتطبيق تقوية DLL search order، ومراقبة جميع محاولات الوصول إلى LSASS.