فاعل تهديد صيني يستهدف البنية التحتية الحيوية الآسيوية ببرمجيات خبيثة مخصصة وأصداف ويب
كشفت وحدة الأبحاث الأمنية "يونيت 42" التابعة لشركة بالو ألتو نتوركس عن حملة تجسس إلكتروني متطورة ومستمرة منذ سنوات، تستهدف منظمات عالية القيمة عبر جنوب وجنوب شرق وشرق آسيا. تشمل الضحايا قطاعات حيوية مثل الطيران والطاقة والحكومة وإنفاذ القانون والأدوية والتكنولوجيا والاتصالات. وقد نسب الباحثون الأمنيون هذه الأنشطة إلى مجموعة تهديد غير موثقة سابقاً، أطلقوا عليها التصنيف "CL-UNK-1068". بينما يظل الدافع الأساسي للمجموعة غير معروف رسمياً، فإن التقييم يشير بثقة متوسطة إلى عالية إلى أن الهدف الرئيسي هو التجسس الإلكتروني لسرقة معلومات حساسة لتحقيق ميزة استراتيجية.
يستخدم الخصوم مجموعة أدوات عملية متعددة الجوانب مصممة للتخفي والاستمرارية. تتضمن هذه الذخيرة برمجيات خبيطة مطورة خصيصاً، وأدوات مفتوحة المصدر معدلة بشكل استراتيجي، وملفات ثنائية شرعية تُستغل لأغراض ضارة. تسمح هذه المنهجية للمهاجمين بالاندماج مع النشاط النظامي العادي، باستخدام أدوات مشروعة موجودة مسبقاً على الشبكة لتنفيذ إجراءات خبيثة، مما يقلل بصمتهم الرقمية ويعقد عملية الكشف. تم تصميم الأدوات للعمل في بيئات ويندوز ولينكس على حد سواء، مما يظهر مرونة المجموعة في استهداف البنى التحتية لتكنولوجيا المعلومات المتنوعة.
تبدأ منهجية الهجوم عادة باستغلال الثغرات الأمنية في خوادم الويب المتاحة للعامة. بعد الحصول على النفاذ الأولي، ينشر المهاجمون أصداف ويب مثل "غودزيلا" أو "أنت سورد" لإرساء موطئ قدم. ثم يتحركون جانبياً عبر الشبكة إلى مضيفين آخرين. يركز النشاط بعد الاختراق بشكل كبير على سرقة ملفات محددة من خوادم ويندوز، خاصة من الدليل "c:\inetpub\wwwroot". حيث يبحثون بشكل منهجي عن ملفات ذات امتدادات مثل ".web.config" و".aspx" وينقلونها خارجياً.
يشير هذا النمط إلى جهد منسق لجمع ملفات تكوين تطبيقات الويب، والشيفرة المصدرية، والملفات الثنائية، بهدف استخراج بيانات الاعتماد المضمنة، أو اكتشاف الأسرار المخبأة في الشيفرة، أو تحديد ثغرات برمجية لاستغلالها لاحقاً. يتجاوز هذا النشاط مجرد سرقة ملفات الخوادم، حيث يستهدف الفاعل أيضاً أنظمة قواعد البيانات الشائعة مثل "ماي إس كيو إل" و"بوست جري إس كيو إل" و"إس كيو إل سيرفر"، مما يوسع نطاق سرقة البيانات بشكل كبير.
لضمان استمرارية الوصول، يستخدم الفاعل "CL-UNK-1068" أدوات مثل "فاست ريفيرس بروكسي" لإنشاء أنفاق سرية، مما يسمح باتصال خفي مستمر بالشبكات المخترقة. بالإضافة إلى ذلك، يستخدمون برمجيات خلفية مثل "إكس نوت" لنظام لينكس، مما يمكنهم من السيطرة الكاملة على الخوادم المستهدفة. يسلط هذا التعقيد والتكيف الضوء على مستوى التطور الذي تتمتع به هذه المجموعة، مما يجعل اكتشافها وتخفيف أثرها تحدياً أمنياً كبيراً للمنظمات في القطاعات الحيوية عبر القارة الآسيوية.
