أخبار التقنية

أصاب قراصنة الدولة الصينيون البنية التحتية الحيوية في جميع أنحاء الولايات المتحدة وغوام


peterschreiber.media | GettyImages

قالت شركة مايكروسوفت وحكومات من الولايات المتحدة وأربع دول أخرى يوم الأربعاء إن مجموعة قرصنة تابعة للحكومة الصينية اكتسبت موطئ قدم كبير داخل بيئات البنية التحتية الحيوية في جميع أنحاء الولايات المتحدة وغوام وتسرق بيانات اعتماد الشبكة والبيانات الحساسة بينما تظل غير قابلة للكشف إلى حد كبير.

وقالت مايكروسوفت إن المجموعة ، التي تتبعها شركة مايكروسوفت تحت اسم Volt Typhoon ، كانت نشطة لمدة عامين على الأقل مع التركيز على التجسس وجمع المعلومات لجمهورية الصين الشعبية. للبقاء متخفيًا ، يستخدم المتسللون أدوات مثبتة بالفعل أو مدمجة في الأجهزة المصابة والتي يتحكم بها المهاجمون يدويًا بدلاً من أن تكون آلية ، وهي تقنية تُعرف باسم “العيش خارج الأرض”. بالإضافة إلى الكشف عنها من قبل Microsoft ، تم توثيق الحملة أيضًا في تقرير استشاري تم نشره بشكل مشترك من قبل:

• وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)
• مكتب التحقيقات الفيدرالي الأمريكي (FBI)
• المركز الأسترالي للأمن السيبراني (ACSC)
• المركز الكندي للأمن السيبراني (CCCS)
• مركز نيوزيلندا الوطني للأمن الإلكتروني (NCSC-NZ)
• مركز المملكة المتحدة الوطني للأمن السيبراني (NCSC-UK)

إلى جانب تقنية العيش خارج الأرض ، قام المتسللون بإخفاء نشاطهم بشكل أكبر باستخدام أجهزة التوجيه المنزلية والمكاتب الصغيرة المخترقة كبنية تحتية وسيطة تسمح بالاتصالات مع أجهزة الكمبيوتر المصابة بالانبثاق من مزودي خدمة الإنترنت المحليين في المنطقة الجغرافية. كتب الباحثون في إرشادات مايكروسوفت:

لتحقيق هدفهم ، يركز ممثل التهديد بشدة على التخفي في هذه الحملة ، ويعتمد بشكل حصري تقريبًا على تقنيات العيش خارج الأرض والنشاط العملي على لوحة المفاتيح. يصدرون أوامر عبر سطر الأوامر من أجل (1) جمع البيانات ، بما في ذلك بيانات الاعتماد من الأنظمة المحلية وأنظمة الشبكة ، (2) وضع البيانات في ملف أرشيف لتجهيزها للتسلل ، ثم (3) استخدام بيانات الاعتماد الصالحة المسروقة للحفاظ على إصرار. بالإضافة إلى ذلك ، يحاول Volt Typhoon الاندماج في نشاط الشبكة العادي عن طريق توجيه حركة المرور من خلال معدات شبكة المكاتب الصغيرة والمكاتب المنزلية (SOHO) المخترقة ، بما في ذلك أجهزة التوجيه وجدران الحماية وأجهزة VPN. كما تمت ملاحظتهم باستخدام إصدارات مخصصة من الأدوات مفتوحة المصدر لإنشاء قناة قيادة وتحكم (C2) عبر الوكيل للبقاء أكثر تحت الرادار.

وقال باحثو مايكروسوفت إن الحملة تهدف على الأرجح إلى تطوير قدرات “لتعطيل البنية التحتية للاتصالات الحيوية بين الولايات المتحدة ومنطقة آسيا أثناء الأزمات المستقبلية”. تعد غوام جيشًا أمريكيًا مهمًا بسبب موانئها في المحيط الهادئ والقاعدة الجوية التي توفرها. مع احتدام التوترات حول تايوان ، أصبحت الأهمية الاستراتيجية لغوام نقطة محورية.

نقطة الدخول الأولية لتسويات Volt Typhoon هي من خلال أجهزة Fortinet FortiGuard المواجهة للإنترنت ، والتي أثبتت في السنوات الأخيرة أنها رأس جسر رئيسي لإصابة الشبكات. من خلال استغلال الثغرات الأمنية في أجهزة FortiGuard التي أهمل المسؤولون تصحيحها ، يستخرج المتسللون بيانات الاعتماد إلى Active Directory للشبكة ، والذي يخزن أسماء المستخدمين ، وتجزئة كلمات المرور ، وغيرها من المعلومات الحساسة لجميع الحسابات الأخرى. ثم يستخدم المتسللون تلك البيانات لإصابة الأجهزة الأخرى على الشبكة.

كتب باحثو مايكروسوفت: “تقوم شركة Volt Typhoon بتوصيل جميع حركة مرور الشبكة الخاصة بها إلى أهدافها من خلال أجهزة حافة شبكة SOHO المخترقة (بما في ذلك أجهزة التوجيه)”. “أكدت Microsoft أن العديد من الأجهزة ، بما في ذلك تلك المصنعة من قبل ASUS و Cisco و D-Link و NETGEAR و Zyxel ، تسمح للمالك بكشف واجهات إدارة HTTP أو SSH على الإنترنت.”

يوضح الجزء المتبقي من الاستشارة في الغالب مؤشرات التسوية التي يمكن للمسؤولين استخدامها لتحديد ما إذا كانت شبكاتهم مصابة أم لا.

كتب باحثو Microsoft:

في معظم الحالات ، يصل Volt Typhoon إلى الأنظمة المخترقة عن طريق تسجيل الدخول باستخدام بيانات اعتماد صالحة ، كما يفعل المستخدمون المعتمدون. ومع ذلك ، في عدد صغير من الحالات ، لاحظت Microsoft أن مشغلي Volt Typhoon ينشئون وكلاء على الأنظمة المخترقة لتسهيل الوصول. ينجزون ذلك باستخدام الأمر netsh portproxy المدمج.

تقوم أوامر Volt Typhoon بإنشاء ثم حذف وكيل منفذ على نظام مخترق

تقوم أوامر Volt Typhoon بإنشاء ثم حذف وكيل منفذ على نظام مخترق

في حالات نادرة ، يستخدمون أيضًا إصدارات مخصصة من الأدوات مفتوحة المصدر Impacket و Fast Reverse Proxy (FRP) لإنشاء قناة C2 عبر الوكيل.

ستلاحظ المنظمات المعرضة للخطر وصول C2 في شكل عمليات تسجيل دخول ناجحة من عناوين IP غير عادية. قد يكون حساب المستخدم نفسه المستخدم لعمليات تسجيل الدخول هذه مرتبطًا بنشاط سطر الأوامر الذي يؤدي إلى مزيد من الوصول إلى بيانات الاعتماد. ستستمر Microsoft في مراقبة Volt Typhoon وتتبع التغييرات في نشاطها وأدواتها.

من بين الصناعات المتضررة الاتصالات والتصنيع والمرافق والنقل والبناء والبحرية والحكومة وتكنولوجيا المعلومات والتعليم. توفر الإرشادات إرشادات لتطهير أي شبكات تم اختراقها.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى