كشفت الجهات الأمنية المتخصصة في الأمن السيبراني ومحللو التهديدات، يوم الخميس، عن تفاصيل مقلقة بشأن حملة تجسس وسرقة بيانات يُعتقد أنها مدعومة من دولة الصين، والتي كانت جوجل قد حذرت منها في سبتمبر الماضي. وتُشير التوقعات، بناءً على الرؤية المحدودة لقدرة الصين المستمرة على التسلل إلى البنية التحتية الحيوية وشبكات الوكالات الحكومية دون اكتشاف، منذ عام 2022 على الأقل، إلى وضع صعب.
صرح نيك أندرسن، المساعد التنفيذي للأمن السيبراني في وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، خلال إحاطة صحفية: “لا يقتصر الأمر على أن الجهات الفاعلة المدعومة من الدول تتسلل إلى الشبكات، بل إنها ترسخ وجودها لتمكين الوصول طويل الأمد، وتعطيل الخدمات، واحتمال التخريب”.
أوضح أوستن لارسون، المحلل الرئيسي في مجموعة تهديدات جوجل الاستخباراتية، أن برنامج “بريك ستورم” (Brickstorm)، والذي وصفه أندرسن بأنه “قطعة برمجيات خبيثة متطورة بشكل لا يصدق”، قد سمح للمهاجمين بتحقيق وصول مستمر بمتوسط مدة 393 يومًا لدعم سرقة البيانات الفورية والتوسع إلى أنشطة خبيثة أخرى. وأضاف لارسون لـ CyberScoop: “نعتقد أن عشرات المنظمات في الولايات المتحدة قد تضررت من بريك ستورم، باستثناء الضحايا الثانويين”.
حملة التجسس الصينية “بريك ستورم” تهدد البنية التحتية الحيوية
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ووكالة الأمن القومي (NSA)، ومركز الأمن السيبراني الكندي تقرير تحليل حول “بريك ستورم”، وهو يستهدف بيئات VMware vSphere وأنظمة ويندوز للتغطية على الأنشطة، وتحقيق الحركة الجانبية، والتنقيب عبر شبكات الضحايا، مع القدرة على إعادة تثبيت أو تشغيل البرمجية الخبيثة تلقائيًا عند تعطيلها. وقدمت CISA مؤشرات على الاختراق بناءً على ثماني عينات من “بريك ستورم” حصلت عليها من المنظمات الضحايا.
وفقًا للمسؤولين والباحثين، يقوم المهاجمون المدعومون من دولة الصين بشكل أساسي بزرع “بريك ستورم” في شبكات المنظمات العاملة في قطاعات الحكومة، وخدمات تكنولوجيا المعلومات، والخدمات القانونية. كما أنهم يستهدفون الأجهزة الطرفية، ومقدمي الخدمات السحابية (SaaS)، ومقدمي خدمات العمليات التجارية لاكتساب الوصول إلى الأهداف النهائية.
رفض أندرسن تحديد عدد الوكالات الحكومية المتضررة أو نوع البيانات المسروقة، لكن نطاق التأثير المفترض أوسع بكثير مما تم الكشف عنه حتى الآن. وأشار إلى أنه “أعتقد أنه من المنطقي افتراض وجود ضحايا إضافيين لم تتح لنا الفرصة للتواصل معهم بعد”.
أفادت شركتا CrowdStrike، التي تعزو الهجمات إلى مجموعة “Warp Panda”، و GTIG، التي تعزو الأنشطة إلى “UNC5221″، بأن حملة “بريك ستورم” تعود إلى عام 2022 على الأقل، إلا أن عمليات الاختراق المتعلقة بها لم تُكشف إلا في الصيف الماضي.
وقال آدم مايرز، نائب الرئيس الأول لعمليات مكافحة الخصوم في CrowdStrike: “إن توسع بنيتهم التحتية، وتطور أدواتهم، وقدرتهم المستمرة على استغلال التكوينات الخاطئة للسحابة، كلها تشير إلى حملة لا تزال نشطة للغاية”.
تطور أدوات التجسس والبرمجيات الخبيثة
لاحظت CrowdStrike أيضًا قيام مجموعة “Warp Panda” بنشر أداتين غير مرصوفتين سابقًا تُدعيان “Junction” و “GuestConduit”. وجميع البرمجيات الخبيثة مكتوبة بلغة Golang.
أكد مايرز أن مجموعة التهديد قد سرقت بيانات تكوين، وبيانات تعريف الهوية، ومستندات، ورسائل بريد إلكتروني حول مواضيع تتماشى مع اهتمامات الحكومة الصينية.
وأضاف: “بينما لم نلاحظ إجراءات متابعة تخريبية، فإن القيمة الاستخباراتية وحدها كبيرة. الوصول إلى هذا النوع من البيانات المقيمة في السحابة يمنح الجهة الفاعلة الحكومية القدرة على رسم خرائط للبنية التحتية، ودراسة التبعيات، ووضع نفسها لعمليات مستقبلية”، مؤكدًا أن “هذا ما يجعل هذه الحملة خطيرة للغاية، إنها تجسس بعمق استراتيجي”.
قدمت CISA تفاصيل حول هجوم عام 2024 على الشبكة الداخلية لمنظمة غير مسماة كمثال لعمليات مجموعة التهديد، لكن الكثير لا يزال مجهولًا. لا تزال السلطات لا تعرف التفاصيل الرئيسية حول كيفية حصول المهاجمين على الوصول الأولي في تلك الحادثة، أو متى تم زرع الويب شيل، أو كيف حصلوا على بيانات الاعتماد لحساب ثانٍ للانتقال جانبيًا إلى وحدة تحكم النطاق باستخدام بروتوكول سطح المكتب البعيد.
قام المهاجمون المشاركون في تلك الحادثة بنسخ قاعدة بيانات Active Directory الخاصة بالمؤسسة، وحصلوا على بيانات اعتماد لحساب مزود خدمة مُدار، واستخدموا تلك البيانات للانتقال من وحدة تحكم النطاق الداخلية إلى خادم VMware vCenter. وقال مسؤولون إن المهاجمين عبروا أيضًا عدة خوادم لسرقة المفاتيح التشفيرية ورفع الامتيازات، مما أتاح لهم نشر برمجيات “بريك ستورم” الخبيثة في دليل الخادم.
تُعيد الهجمات وتُضخم المخاوف المستمرة بشأن نشاط التجسس السيبراني الصيني، وتعكس حملات أخرى ذات أهداف مماثلة تستند إلى تقنيات “العيش في البيئة” (living-off-the-land) المنسوبة إلى مجموعات تهديد بارزة أخرى مدعومة من دولة الصين.
وصف مايرز هذه الحملة بأنها “تُمثل تطوراً في أساليب العمل مقارنةً بجهود الصين السابقة”، مشيراً إلى أنها “تُظهر فهمًا عميقًا للبيئات السحابية المتعددة، وهياكل الهوية التي تربطها ببعضها البعض”.
يُثير النقص المستمر في الرؤية حول الأهداف التي حققتها الصين بالفعل وما قد تسمح به هذه الأبواب الخلفية المستمرة للمهاجمين في المستقبل، قلقًا كبيرًا.
أوضح لارسون أن حملة “بريك ستورم” تدمج بفعالية بين أهداف تشمل التجسس، وسرقة الملكية الفكرية، والوصول المستمر الذي يمكن للمهاجمين استخدامه لأنشطة خبيثة لاحقة.
وأكد أن المهاجمين من الدول يتمتعون بقدرة استثنائية على التخفي، حيث يستغلون الثغرات في الشبكات التي لا يمكن نشر أدوات الكشف فيها، ويعطون الأولوية لاختراق البنية التحتية المحيطية أو بنية الوصول عن بُعد، حيث تكون سجلات الاحتفاظ بالبيانات غالباً غير كافية لتحديد مسار الوصول الأولي.
واختتم لارسون قائلاً: “يُعد تحديد هذا النشاط صعبًا بشكل استثنائي لأنه يستهدف الأجهزة الطرفية والأجهزة التي غالبًا ما تكون غير مسجلة ولا تخضع للمراقبة. هذا المستوى من الأمان التشغيلي والتركيز على الأجهزة “غير القابلة للإدارة” يضع هذه الحملة ضمن أكثر أنشطة الدول تقدماً في التخفي التي نتتبعها”.