منذ عام 2018، تستخدم مجموعة قرصنة مرتبطة بالصين تُعرف باسم PlushDaemon أسلوب هجوم متطور للتسلل إلى شبكات في مناطق متعددة. ويعتمد الهجوم بشكل أساسي على أداة متخصصة تُدعى EdgeStepper، والتي تعمل كجسر لتحويل التحديثات الشرعية للبرامج إلى خوادم خبيثة.
وتتيح هذه التقنية للمتسللين إدخال برامج ضارة مباشرة ضمن ما يعتقد المستخدمون أنه عمليات تثبيت تحديثات أصلية من شركات برمجيات موثوقة. وقد استهدفت حملة PlushDaemon أفرادًا ومؤسسات في الولايات المتحدة وتايوان والصين وهونغ كونغ ونيوزيلندا وكمبوديا.
PlushDaemon تستغل أداة EdgeStepper لشن هجمات متطورة
تتبع المجموعة عدة طرق للهجوم، بما في ذلك استغلال الثغرات الأمنية في البرمجيات، وضعف بيانات اعتماد أجهزة الشبكة، واختراقات معقدة لسلسلة الإمداد. وفي تحقيق أُجري عام 2023، كشف الباحثون عن تورط المجموعة في هجوم كبير على سلسلة الإمداد استهدف خدمة VPN في كوريا الجنوبية، مما يوضح قدرتها على العمل على نطاق واسع.
وقد تمكن محللو الأمن في ESET من تحديد وفحص برمجية EdgeStepper الخبيثة بعد اكتشاف ملف ثنائي لنظام Linux (ELF) يحتوي على تفاصيل البنية التحتية المرتبطة بعمليات PlushDaemon. ووجد الباحثون أن هذه الأداة، التي تحمل الاسم الرمزي dns_cheat_v2 داخليًا، تمثل عنصراً حاسماً في البنية التحتية لهجمات المجموعة.
آلية اعتراض DNS وإعادة توجيه حركة المرور
تعتمد فعالية EdgeStepper على آلية ذكية وخطيرة لمعالجة حركة مرور الشبكة. تبدأ البرمجية بفحص ملفات تعريف مشفرة، ثم تقوم بفك تشفيرها باستخدام خوارزمية AES CBC مع مفتاح افتراضي. ويكشف فك التشفير عن معلمات هامة لتحديد منفذ الاستماع وعنوان خادم DNS الخبيث.
يقوم EdgeStepper بعد ذلك بتهيئة نظامين أساسيين: الأول يحل عنوان IP للخادم الخبيث وينسق تدفق حركة المرور، بينما يقوم الثاني بإصدار أوامر لإعادة توجيه جميع حركات مرور UDP على المنفذ 53 إلى منفذ EdgeStepper المحدد. يتم هذا الإجراء باستخدام أمر iptables الذي يجبر جميع طلبات DNS على المرور عبر EdgeStepper قبل وصولها إلى خوادم DNS الشرعية.
هذه الآلية تضع EdgeStepper في موقع man-in-the-middle، مما يسمح باعتراض وتعديل تعليمات التحديثات المرسلة إلى التطبيقات البرمجية ببراعة. كما يتضح من الصور المرفقة، تتبع العملية مراحل متعددة مصممة لتخطي آليات الدفاع الأمني التقليدية.
بمجرد اختراق جهاز شبكة، مثل جهاز توجيه، عن طريق استغلال ثغرة أو ضعف بيانات الاعتماد، يبدأ EdgeStepper في العمل. وعند محاولة المستخدم تحديث برامج مثل Sogou Pinyin أو تطبيقات صينية أخرى، تقوم البرمجية الخبيثة بإعادة توجيه الاتصال إلى خادم يتحكم به المهاجم.
يقوم خادم الاختراق هذا بعد ذلك بتوجيه البرنامج الشرعي لتحميل ملف DLL ضار بدلاً من التحديث الحقيقي. هذه العملية تضمن إيصال البرمجية الخبيثة إلى الجهاز المستهدف ضمن واجهة تبدو مشروعة تمامًا للمستخدم.