كشفت تقارير حديثة عن شبكة واسعة ومعقدة من خوادم التحكم والسيطرة (C2)، حيث تمكنت جهات تهديد مرتبطة بالبنية التحتية الصينية من استضافة ما لا يقل عن 18,000 خادم نشط عبر 48 مزود خدمة استضافة مختلف. هذه الظاهرة تسلط الضوء على تحديات متزايدة في مجال الأمن السيبراني.
ويوضح هذا الانتشار الكبير، الذي تم رصده خلال الأشهر الماضية، كيفية استغلال الجهات الخبيثة للبنى التحتية الموثوقة وخدمات الحوسبة السحابية لإخفاء أنشطتها. غالباً ما تعتمد أساليب البحث التقليدية عن التهديدات على تتبع عناوين IP أو أسماء النطاقات الفردية، لكن هذه التقارير تشير إلى أن المهاجمين يغيرون هذه المؤشرات باستمرار لتجنب الكشف.
وفقاً للتحليل، فإن خوادم التحكم والسيطرة تمثل حوالي 84% من جميع الأنشطة الخبيثة المرصودة في بيئات الاستضافة الصينية خلال فترة التحليل التي امتدت لثلاثة أشهر. هذا يظهر بوضوح هيمنة عمليات التحكم والسيطرة على المشهد التهديدي.
من جهة أخرى، شكلت البنى التحتية لعمليات التصيد الاحتيالي حوالي 13%، بينما مثلت الدلائل العامة على الاختراق ومواقع التنزيل المفتوحة أقل من 4% من التهديدات المكتشفة. هذا يقدم مؤشراً قوياً على أن المهاجمين يفضلون البنى المستقرة والقادرة على تنسيق حملات مستمرة ضد أهداف متعددة.
بنية تحتية واسعة لـ خوادم التحكم والسيطرة في الصين
استخدم محللو Hunt.io منصة “Host Radar” للكشف عن هذه البنية التحتية الضخمة، والتي تجمع بين الكشف عن خوادم التحكم والسيطرة، وتحديد مواقع التصيد، ومسح الدلائل المفتوحة، واستخراج المؤشرات في نظام استخباراتي واحد. هذا النهج الذي يربط التهديدات بمزودي الخدمة يسمح بالكشف عن أنماط إساءة الاستخدام طويلة الأمد.
برزت شركة China Unicom كمزود رئيسي للبنية التحتية الخبيثة، حيث استضافت ما يقرب من نصف إجمالي خوادم التحكم والسيطرة المرصودة، مع ما يقارب 9,000 حالة. تلتها Alibaba Cloud و Tencent، حيث استضافت كل منهما حوالي 3,300 خادم. هذا يشير إلى أن منصات السحابة الكبرى تستهدف بشكل كبير من قبل الجهات التهديدية التي تقدر سرعة توفير الخدمات وتوافرها العالي.
تمثل هذه الشركات الثلاث وحدها الغالبية العظمى من بنية التحكم والسيطرة الخبيثة المكتشفة داخل الصين. هذا التركيز الكبير للبنية التحتية يسهل على الجهات التهديدية إدارة عملياتها، ولكنه أيضاً يوفر فرصة للمدافعين لتحديد الأنماط المشتركة.
أنماط البرمجيات الخبيثة واستغلال البنية
تظهر عائلات البرمجيات الخبيثة العاملة عبر هذه البنية التحتية أنماطًا واضحة من الاستغلال المتكرر للأطر البرمجية. يتصدر برنامج Mozi botnet المشهد، حيث يمثل 9,427 عنوان IP مميزاً لخوادم التحكم والسيطرة، وهو ما يعادل أكثر من نصف إجمالي النشاط المرصود. يشير تسلسل ARL، الذي يتبعه بـ 2,878 نقطة نهاية للتحكم والسيطرة، إلى إساءة استخدام واسعة النطاق لأدوات ما بعد الاستغلال وفرق التدخل السريع لأغراض خبيثة.
تظهر Cobalt Strike بـ 1,204 اكتشافاً، بينما يكمل Vshell و Mirai قائمة الخمسة الأوائل بـ 830 و 703 خوادم تحكم وسيطرة على التوالي. هذا التركيز يتيح للمدافعين تركيز جهودهم على مراقبة أنماط البنية التحتية المشتركة بدلاً من مطاردة المتغيرات الفردية للبرمجيات الخبيثة التي تتطور باستمرار.
تظهر البيانات أن عمليات الجريمة الإلكترونية، وبنية الشبكات الروبوتية (bots)، وأدوات التجسس المرتبطة بالدول تتعايش ضمن نفس بيئات الاستضافة. تتراوح الحملات من برامج الوصول عن بعد السلعية إلى عمليات التهديد المستمر المتقدم (APT)، مما يخلق نظامًا بيئيًا معقدًا للتهديدات، حيث تكافح الدفاعات التقليدية القائمة على المؤشرات للحفاظ على فعاليتها.