كشفت استخبارات تهديدات جديدة عن استمرار مجموعة التهديد السيبراني APT-C-35، المعروفة أيضاً باسم DoNot، في الاحتفاظ ببصمة بنية تحتية نشطة على شبكة الإنترنت. وقد حدد باحثون أمنيون مؤخراً مجموعات بنية تحتية جديدة مرتبطة بهذه المجموعة، التي يُعتقد أنها مدعومة من دولة معينة وتمتلك قدرات تجسسية تستهدف مناطق حيوية في جنوب آسيا.
تمثل APT-C-35 تهديداً مستمراً للأمن السيبراني للمؤسسات في القطاعات الحكومية والدفاعية والدبلوماسية. وتظهر عمليات المجموعة نمطاً ثابتاً، حيث وثق الباحثون أنشطة بنية تحتية تسلط الضوء على كيفية قيام المهاجمين بالحفاظ على قنوات القيادة والتحكم لديهم مع التهرب من طرق الكشف التقليدية. وتشير النتائج الأخيرة إلى أن خوادم الويب الخاصة بالمجموعة تحافظ على خصائص مميزة يمكن لفرق الأمن تتبعها ومراقبتها.
وجد الباحث الأمني إيدان طراب، من شركة At-Bay، مؤشرات فنية محددة تميز البنية التحتية لمجموعة APT-C-35 عن خوادم الويب الشرعية. وقد وفرت هذه المؤشرات الأساس لتتبع أنشطة المجموعة الأخيرة وفهم أساليب عملها عبر قطاعات شبكية متعددة.
صيد البنية التحتية وطرق الكشف
اعتمد التحقيق على نهج منظم لتحديد أصول APT-C-35 من خلال فحص خصائص استجابة خادم Apache HTTP بالاقتران مع تحليل رقم النظام المستقل (ASN) 399629. واكتشف الباحثون الأمنيون أن البنية التحتية المستهدفة أظهرت أنماطاً متسقة في استجابات HTTP، بما في ذلك تكوينات رؤوس معينة عملت كمؤشرات كشف موثوقة.
كشفت استعلامات البحث أن الخوادم المرتبطة بـ APT-C-35 كانت تعيد رؤوس Apache HTTP محددة، بما في ذلك تواريخ انتهاء صلاحية موحدة وقيم طول المحتوى. وأحد المؤشرات المحددة أشار إلى استجابات HTTP مع “Expires: Thu, 19 Nov 1981 08:52:00 GMT” مقترنة برموز حالة “HTTP/1.1 200 OK” عبر ASN 399629، مما ضيق نطاق البحث بشكل كبير.
كشف التحليل عن حوالي 73 نتيجة تمثل 36 عنوان IP فريداً dentro de la agrupación de infraestructura. وأظهر الخادم الرئيسي الذي تم تحديده، gilbertfix.info المستضاف على IP 149.248.76.43 في وايومنغ، رؤوس تحكم في ذاكرة التخزين المؤقت نموذجية بما في ذلك تكوينات “Cache-Control: no-store, no-cache, must-revalidate”. وتقترح هذه الإجراءات الدفاعية أن البنية التحتية مصممة لمنع التخزين المؤقت وتأمين الاتصالات الحساسة.
يتيح هذا الاكتشاف لفرق الأمن تنفيذ الكشف الاستباقي عن التهديدات من خلال مراقبة أنماط استجابة HTTP المحددة هذه. ويمكن للمؤسسات الآن ربط مؤشرات الاختراق الشبكية بالبنية التحتية المعروفة لـ APT-C-35، مما يسرع من أوقات الاستجابة للحوادث ويحسن دقة توصيف التهديدات. ويعزز هذا البحث أهمية الصيد المستمر للبنية التحتية للحفاظ على الوعي التشغيلي ضد الجهات الفاعلة المدعومة من الدول.