كشفت تقارير أمنية حديثة عن استهداف جهة تهديد متقدمة مرتبطة بالصين، تُعرف باسم UAT-9244، لمزودي خدمات الاتصالات في أمريكا الجنوبية منذ بداية عام 2024. تستخدم هذه الجهة ثلاثة برامج خبيثة جديدة للوصول العميق إلى البنية التحتية الحيوية لشبكات الاتصالات، مما يثير قلقاً متزايداً حول أمن القطاع.
وتعمل المجموعة التي تقف وراء هذه الهجمات على أنظمة ويندوز ولينكس، بالإضافة إلى أجهزة الحافة الشبكية التي تعتمد عليها شركات الاتصالات لتوجيه وإدارة حركة البيانات. الأمر اللافت في هذه الحملة هو ليس فقط الجهة المستهدفة، بل الأسلوب المنهجي الذي اتبعته المجموعة في بناء مجموعة أدواتها لغزو الأنظمة، التغلغل فيها، وتوسيع نطاق انتشارها.
حملة التجسس السيبراني الجديدة تستهدف قطاع الاتصالات
تتكون ترسانة UAT-9244 من ثلاثة أدوات برمجية خبيثة، كل منها مصمم لأداء دور محدد. يشمل ذلك TernDoor، وهو برنامج تجسس (backdoor) لأنظمة ويندوز ويُعد سلالة جديدة من برمجية CrowDoor المعروفة سابقاً. إضافة إلى ذلك، يأتي PeerTime، وهو برنامج تجسس آخر ولكنه مصمم لأنظمة لينكس، ويستغل بروتوكول BitTorrent للتواصل وتنفيذ الأوامر على الأنظمة المخترقة. هذا الأسلوب غير تقليدي يسمح بتسرب حركة البيانات الخبيثة ضمن النشاط المعتاد لشبكات الند للند (peer-to-peer).
أما الأداة الثالثة، BruteEntry، فتقوم بتحويل الأجهزة المخترقة إلى ما يعرف بصناديق إعادة التوجيه التشغيلية (ORBs)، مما يمكّن المهاجمين من اختراق حسابات SSH و PostgreSQL و Apache Tomcat بشكل مستمر، ممهدة الطريق لتوسيع نطاق سيطرتهم على الأنظمة.
وبحسب باحثي Cisco Talos، فإن هناك تداخلاً كبيراً بين UAT-9244 وبين مجموعتين معروفتين من جهات التهديد المتقدم المرتبطة بالصين، وهما FamousSparrow و Tropic Trooper. ويستند هذا التقييم إلى الأدوات المشتركة، والتكتيكات المتداخلة، واستهداف الضحايا المتشابه عبر المجموعات الثلاث. يتتبع TernDoor سلالته عبر CrowDoor إلى SparrowDoor، وهو برنامج تجسس يُنسب منذ فترة طويلة إلى FamousSparrow.
علاوة على ذلك، يحتوي برنامج PeerTime على سلاسل تصحيح مكتوبة باللغة الصينية المبسطة، مما يوفر مؤشراً لغوياً قوياً يربط الحملة مباشرة بمشغلي التهديدات الناطقين بالصينية. وتُبين هذه الأدوات والأساليب المتطورة حجم التهديد الذي تشكله حملات التجسس السيبراني المتقدمة.
توسع نطاق العمليات وأهميتها الاستراتيجية
يُعتبر نطاق هذه العملية ذا أهمية بالغة لقطاع الاتصالات. فقد اكتشف باحثو Talos شهادة SSL مشتركة مرتبطة بـ 18 عنوان IP يُرجح أن UAT-9244 استخدمتها للبنية التحتية للقيادة والتحكم، مما يكشف عن شبكة واسعة وممولة جيداً. ورغم أن UAT-9244 ومجموعة Salt Typhoon التي يتم تتبعها بشكل منفصل يستهدفان مزودي الاتصالات، إلا أن Talos لم يؤكد وجود اتصال مباشر بين المجموعتين.
ومع ذلك، فإن نمط تركيز جهات تهديد متعددة متحالفة مع الصين على البنية التحتية للاتصالات يسلط الضوء على القيمة الكبيرة التي تمثلها هذه الشبكات لجهود جمع المعلومات الاستخباراتية التي ترعاها الدول.
سلسلة عدوى TernDoor وتكتيكات الثبات
تبدأ عملية نشر TernDoor بتحميل جانبي لملف DLL، حيث يتم استخدام ملف تنفيذي عادي لويندوز اسمه wsprint.exe لتحميل ملف خبيث يسمى BugSplatRc64.dll. يقرأ هذا البرنامج الوسيط ملفاً مشفراً من القرص ويفك تشفيره باستخدام المفتاح الثابت qwiozpVngruhg123، ثم ينفذ الشيفرة الناتجة بالكامل في الذاكرة، دون كتابتها على القرص، مما يساعد المهاجم على تجاوز تقنيات الكشف المستندة إلى الملفات التي تعتمد عليها الأدوات الأمنية تقليدياً.
بمجرد تفعيله، يقوم البرنامج الوسيط بفك ضغط وتشغيل TernDoor، والذي يتم حقنه في عملية ويندوز الشرعية msiexec.exe. يُعتبر هذا الاختيار متعمداً لإخفاء وجوده ضمن سلوك النظام الروتيني. بعد ذلك، يقوم البرنامج الخبيث بفك تشفير تكوينه الداخلي، والذي يحتوي على عنوان IP للخادم (C2)، وعدد المحاولات، ورقم المنفذ، وسلسلة User-Agent مخصصة للاتصال الخارجي.
من هذه النقطة، يمكن لـ TernDoor تنفيذ أوامر عن بعد، وقراءة وكتابة الملفات، وجمع تفاصيل النظام، والتواصل مع المشغل الخاص به. للحفاظ على استمراريته بعد إعادة تشغيل النظام، يقوم TernDoor بإنشاء مهمة مجدولة باسم “WSPrint” ومن ثم يقوم بتعديل مفاتيح التسجيل المرتبطة بهذه المهمة لإخفائها عن طرق العرض القياسية للنظام. كما يقوم بتعيين مفتاح تشغيل في التسجيل لإعادة تشغيل البرمجية الخبيثة في كل مرة يتم فيها تسجيل دخول المستخدم، محققاً بذلك مسارين مستقلين للثبات في وقت واحد.
بالإضافة إلى ذلك، يقوم TernDoor بإسقاط مشغل ويندوز باسم WSPrint.sys وتفعيله كخدمة نظام. يقوم هذا المشغل بإنشاء جهاز افتراضي يستخدمه TernDoor لتعليق أو استئناف أو إنهاء العمليات، مما يوفر آلية مباشرة لتعطيل أدوات الأمان النشطة على نفس الجهاز.
لذلك، يُنصح فرق الأمن بمراجعة المهام المجدولة ومفاتيح التشغيل في التسجيل بحثاً عن أي إدخالات غير مصرح بها، ومراقبة أحداث التحميل الجانبي لملفات DLL في مجلدات التطبيقات، وتقييد تنفيذ برامج تشغيل النواة غير الموقعة. كما يُوصى بشدة بحظر نطاقات IP المعروفة للخوادم (C2) الخاصة بـ UAT-9244، ونشر توقيعات ClamAV – بما في ذلك Win.Malware.TernDoor، Unix.Malware.BruteEntry، و Unix.Malware.PeerTime – إلى جانب قاعدة SNORT SID 65551، لحماية البنية التحتية للاتصالات من هذا التهديد.