هجوم إلكتروني على شركة أمريكية لمدة 4 أشهر يكشف عن تهديد متقدم مرتبط بمتسللين صينيين
لقد ألقى هجوم إلكتروني تم الكشف عنه مؤخرًا الضوء على عملية متطورة للغاية تستهدف منظمة أمريكية كبرى، مع وجود أدلة تشير إلى قراصنة برعاية الدولة من الصين. وقد امتد هذا الاختراق المثير للقلق، والذي تم تفصيله في تقرير صادر عن شركة سيمانتك المملوكة لشركة برودكوم، لمدة أربعة أشهر على الأقل هذا العام، بدءًا من أبريل وربما قبل ذلك. ويؤكد نطاق الهجوم وأساليبه على الاستراتيجيات المتطورة للخصوم السيبرانيين والمخاطر التي تواجهها المنظمات الحيوية في جميع أنحاء العالم.
جدول المحتويات
تكتيكات وأدوات متطورة تسلط الضوء على التهديدات المتقدمة
حددت شركة سيمانتك لأول مرة علامات الاختراق في 11 أبريل 2024، ووجدت أن الهجوم استمر حتى أغسطس. وخلال هذا الوقت، تحرك المهاجمون أفقيًا عبر شبكة الضحية، مما أدى إلى تعريض العديد من الأجهزة للخطر. كانت بعض الأنظمة المستهدفة عبارة عن خوادم Microsoft Exchange، وهي خطوة تشير إلى أن المهاجمين سعوا إلى جمع المعلومات من خلال الوصول إلى بيانات البريد الإلكتروني الحساسة.
وتؤكد أدوات الاستخراج التي تم نشرها أثناء الحملة أنه تم استخراج معلومات قيمة من البنية الأساسية للضحية. وقد استخدم المتسللون مزيجًا من الأدوات مفتوحة المصدر وأدوات مساعدة مدمجة في Windows لتعزيز هجومهم. وتم نشر أدوات مثل FileZilla وImpacket وPSCP جنبًا إلى جنب مع تقنيات العيش من الأرض، والاستفادة من Windows Management Instrumentation (WMI) وPsExec وPowerShell لتنفيذ الأوامر الضارة والاندماج في نشاط الشبكة المشروع.
دور الصين واستخدام تقنيات التجسس الإلكتروني
ورغم أن اسم المنظمة المستهدفة لم يُكشف عنه، فإن عملياتها الكبيرة في الصين تزيد من ثقل الشكوك في أن المهاجمين مرتبطون بمجموعات صينية ترعاها الدولة. واعتمد الهجوم الإلكتروني بشكل كبير على التحميل الجانبي لملفات DLL، وهو تكتيك مميز لفرق القرصنة الصينية. وتتوافق الآثار الناجمة عن الاختراق مع تلك التي لوحظت في عملية "Crimson Palace"، وهي عملية سابقة مدعومة من الدولة. بالإضافة إلى ذلك، كانت هذه المنظمة مستهدفة سابقًا في عام 2023 من قبل مجموعة تُعرف باسم Daggerfly، والتي يُشار إليها أيضًا باسم Bronze Highland وEvasive Panda وStormBamboo.
تأثيرات أوسع على الأمن السيبراني
يعكس هذا الاختراق اتجاهات أوسع نطاقًا داخل النظام البيئي للهجمات السيبرانية في الصين، والذي قامت Orange Cyberdefense بتحليله بالتفصيل. غالبًا ما تعمل العمليات التي ترعاها الدولة الصينية على طمس الخطوط الفاصلة بين الكيانات العامة والخاصة، والاستفادة من الجامعات لإجراء أبحاث متقدمة وتوظيف المقاولين لتنفيذ الهجمات. غالبًا ما يتم إنشاء شركات وهمية من قبل أفراد مرتبطين بالجيش الصيني أو وحدات الاستخبارات لإخفاء الإسناد، وشراء البنية الأساسية الرقمية، وتجنيد المتسللين دون إثارة الشكوك.
وتؤكد هذه النتائج على الطبيعة المستمرة والمتقدمة للعمليات السيبرانية الصينية. وتعمل الحملة التي تستهدف هذه الشركة الأمريكية كتذكير صارخ بمشهد التهديدات المتطور وأهمية الدفاعات الأمنية السيبرانية القوية لحماية الأصول الحيوية من خصوم الدولة القومية.