كشفت تقارير أمنية عن سلالة جديدة من برمجيات Winnti الخبيثة، التي تستهدف خوادم الحوسبة السحابية التي تعمل بنظام لينكس، لتحويلها إلى منصات متطورة لسرقة بيانات الاعتماد. يعمل هذا البرمجية الخبيثة، التي تستخدمها جهة التهديد المعروفة باسم APT41، بصمت لتجميع معلومات حساسة من البنية التحتية السحابية، مما يثير قلقاً متزايداً حول أمن البيانات في بيئات الحوسبة السحابية.
تم تصميم هذا البرنامج الخبيث، الذي أطلقت عليه “Breakglass Intelligence” اسم Winnti backdoor، خصيصاً لأنظمة لينكس الموجودة على منصات سحابية رئيسية مثل AWS، Google Cloud، Microsoft Azure، و Alibaba Cloud. الهدف الرئيسي منه هو جمع بيانات اعتماد الوصول على نطاق واسع، مع التركيز على التخفي والبقاء لفترة طويلة داخل البيئات المستهدفة.
وبدلاً من استهداف الأجهزة النهائية مباشرة أو استخدام برامج الفدية، تركز هذه الحملة على تحقيق وصول مستمر وسيطرة تشغيلية على البنية التحتية السحابية الحيوية. يشير هذا التحول في الاستراتيجية إلى تزايد التعقيد والتخطيط المسبق من قبل الجهات المهاجمة.
APT41 تستهدف بيانات الاعتماد في السحابة
وفقاً للتحليل المتعمق الذي أجرته “Breakglass Intelligence”، تعمل هذه السلالة الجديدة من Winnti كباب خلفي متواصل، يندمج بسلاسة مع أنماط حركة المرور السحابية العادية. يقوم البرنامج الخبيث بجمع رموز الوصول الحساسة وأسرار التكوين من الخوادم المخترقة، مما يمنح المهاجمين القدرة على الوصول إلى أجزاء أكبر من البيئة السحابية.
وقد لاحظ محللو “Breakglass Intelligence” أن العينة التي تم تحليلها لم تكن مكتشفة بواسطة أي من برامج مكافحة الفيروسات المعروفة في وقت إعداد التقرير. هذا يسلط الضوء، بحسب الباحثين، على الفجوة المتزايدة بين أدوات الدفاع التقليدية والتهديدات الحديثة التي تستهدف البيئات السحابية.
توضح الأبحاث أن APT41 تستهدف خدمات بيانات التعريف الخاصة بالخوادم، وملفات بيانات اعتماد المستخدم المحلية، ومسارات التكوين الخاصة بالمنصات السحابية لجمع كل ما يلزم للتحرك بشكل أعمق داخل البيئات السحابية.
آلية القيادة والتحكم المبتكرة
كشفت جهة الأمن السيبراني أن البرنامج الخبيث يستخدم استراتيجية قيادة وتحكم غير تقليدية ولكنها فعالة، تعتمد على بروتوكول SMTP عبر المنفذ 25. هذا الأسلوب يتيح للبرنامج الخبيث إخفاء اتصالاته كحركة مرور بريد إلكتروني عادية، والتي غالباً ما تخضع لفحص أمني أقل صرامة في شبكات الحوسبة السحابية.
تتواصل البرمجيات الخبيثة مع مجموعة من النطاقات ذات الأسماء المشابهة لـ Alibaba، والتي تستضيفها بنية تحتية تابعة لـ Alibaba Cloud في سنغافورة. هذا يساعد على اندماج الحركة ضمن ما يبدو كحركة مرور إقليمية طبيعية.
وتظهر الحملة أيضاً درجة عالية من التخطيط من جانب المشغلين، حيث قاموا بتسجيل ثلاثة نطاقات تنتحل صفة Alibaba Cloud وعلامة تجارية صينية للأمن السيبراني تدعى Qianxin، وسط فترة زمنية قصيرة لا تتجاوز 24 ساعة. وهذا النمط، بالإضافة إلى الارتباطات الكودية مع سلالات Winnti السابقة، يدعم بقوة نسب الإسناد إلى APT41.
جمع بيانات الاعتماد السحابية والتحكم الخفي
يكمن جوهر هذا البرنامج الخبيث الجديد من Winnti في محرك جمع بيانات الاعتماد السحابية، الذي يقوم بشكل منهجي بفحص آليات تخزين بيانات التعريف وبيانات الاعتماد لكل مزود سحابي رئيسي.
على AWS، يستعلم البرنامج عن نقطة نهاية بيانات التعريف الخاصة بالخادم للحصول على بيانات اعتماد أدوار IAM، ويقرأ أيضاً ملف ~/.aws/credentials إذا كان موجوداً. وعلى Google Cloud، يطلب رموز حسابات الخدمة من خادم بيانات التعريف ويفحص ملفات الاعتماد الافتراضية للتطبيقات. أما في Azure، فإنه يسحب رموز الهوية المدارة من نقطة نهاية IMDS ويبحث في ملفات profile الخاصة بـ Azure.
بالنسبة لـ Alibaba Cloud، تستهدف البرمجيات الخبيثة بيانات تعريف ECS للحصول على بيانات اعتماد أدوار RAM وتفحص ملفات تكوين Alibaba CLI المحلية. يتم تشفير جميع الأسرار التي تم جمعها باستخدام مفتاح AES-256 ثابت وتخزينها مؤقتاً محلياً قبل إرسالها عبر قناة القيادة والتحكم المستندة إلى SMTP.
يعمل تصميم القيادة والتحكم بشكل أكبر على إعاقة الكشف، من خلال إضافة خطوة مصافحة انتخابية على خادم القيادة والتحكم، والتي تستجيب فقط للعملاء الذين يقدمون رمزاً صالحاً مضمناً في سلسلة EHLO الأولية. وهذا يعني أن أدوات المسح الآلية مثل Shodan أو Censys لا ترى سوى استجابة SMTP عادية قبل إغلاق الاتصال، مما يجعل المضيف يبدو غير مشبوه في عمليات المسح واسعة النطاق.
فقط البرمجيات الخبيثة التي تعرف الرمز الصحيح تتلقى الأوامر المشفرة في رموز ردود SMTP ورسائل موسعة، مما يوفر لـ APT41 طبقة تحكم خفية يصعب جداً على المدافعين اكتشافها من الخارج. داخل الشبكة السحابية، يدعم البرنامج الخبيث الحركة الجانبية عن طريق إرسال إشارات بث دورية عبر UDP إلى عنوان البث العام على المنفذ 6006، مما يسمح للخوادم المخترقة الأخرى باكتشاف بعضها البعض وتبادل المهام دون الحاجة إلى المزيد من اتصالات القيادة والتحكم المباشرة.
تعني هذه الإحداثيات من نظير إلى نظير أنه حتى لو تم حظر بعض حركة المرور الصادرة أو مراقبتها، يمكن للمشغل الاستمرار في التحرك جانبياً والحفاظ على السيطرة على مجموعة من الأنظمة المصابة. ولمواجهة هذا، توصي “Breakglass Intelligence” بتشديد إجراءات الرقابة على حركة مرور SMTP الصادرة من الحملات غير الضرورية، ومراقبة بث UDP غير العادي على المنفذ 6006، وتدقيق الوصول إلى خدمات بيانات التعريف ومخازن بيانات الاعتماد المحلية، والبحث عن الملفات التنفيذية لنظام لينكس التي تم تجريدها ومجمعة بشكل ثابت في المسارات المؤقتة.
كما يتم حث فرق الحوسبة السحابية على تمكين سجلات التدقيق السحابية، وفرض حماية أقوى لبيانات التعريف مثل IMDSv2 على AWS، ومراجعة استخدام أدوار IAM عن كثب من عناوين IP مصدر غير متوقعة للكشف عن حملة Winnti السحابية المتطورة واحتوائها.