الباب الخلفي لـ GhostSpider

بواسطة Mezo في التهديد المستمر المتقدم (APT), الأبواب الخلفية, البرمجيات الخبيثة

ترجمة الى:

تستهدف مجموعة تجسس سيبرانية متطورة مرتبطة بالصين تُعرف باسم Earth Estries شركات الاتصالات والجهات الحكومية في جميع أنحاء جنوب شرق آسيا وخارجها. وقد استخدمت المجموعة مجموعة متنوعة من التقنيات المتقدمة للتسلل إلى الصناعات الحيوية، بما في ذلك استخدام باب خلفي غير موثق يسمى GhostSpider. كما لوحظ أن هذه المجموعة تستغل العديد من الثغرات الأمنية للحصول على وصول غير مصرح به إلى أهدافها، مما يكشف عن التطور المتزايد لقدرات الصين السيبرانية.

جدول المحتويات

GhostSpider: الباب الخلفي غير الموثق

تم استخدام GhostSpider، وهو إضافة جديدة إلى ترسانة Earth Estries، كطريقة أساسية للتسلل إلى الشبكات. هذا الباب الخلفي مستهدف للغاية، وتم تصميمه خصيصًا لاستغلال نقاط الضعف في البنية التحتية لشركات الاتصالات في جنوب شرق آسيا. تستخدم Earth Estries هذه الأداة إلى جانب MASOL RAT (المعروف أيضًا باسم Backdr-NQ)، وهو باب خلفي آخر، لاستهداف أنظمة Linux وأنظمة الشبكات الحكومية. تضمن استراتيجية المجموعة المتمثلة في استخدام البرامج الضارة المصممة خصيصًا وجودًا مستمرًا داخل الشبكات المخترقة، مما يتيح التجسس الإلكتروني على المدى الطويل.

الوصول العالمي: استهداف قطاعات متعددة

لقد حققت مجموعة Earth Estries تقدماً كبيراً في اختراق مجموعة واسعة من القطاعات، بما في ذلك الاتصالات، والتكنولوجيا، والاستشارات، والنقل، والصناعات الكيماوية، والمنظمات الحكومية. وتمتد عمليات المجموعة إلى أكثر من 20 ضحية في أكثر من اثنتي عشرة دولة، بما في ذلك أفغانستان، والبرازيل، والهند، وإندونيسيا، وماليزيا، وجنوب أفريقيا، والولايات المتحدة، وفيتنام. ويؤكد هذا الاستهداف الواسع النطاق على قدرة المجموعة وطموحها، حيث يقدر عدد الضحايا المتأثرين بأنشطتها بنحو 150 ضحية، وخاصة داخل الحكومة الأمريكية والقطاع الخاص.

أدوات الأرض

ومن بين الأدوات العديدة المتاحة لمجموعة The Earth Estries، تبرز أداة Demodex rootkit وDeed RAT (المعروفة أيضًا باسم SNAPPYBEE). وتعتبر هذه الأدوات، إلى جانب أدوات أخرى مثل Crowdoor وTrillClient، جزءًا لا يتجزأ من عمليات المجموعة. ويُعتقد أن ShadowPad، وهي عائلة من البرامج الضارة تستخدمها مجموعات APT الصينية على نطاق واسع، أثرت على تطوير Deed RAT، وهو الخليفة المحتمل للمجموعة. وتسمح هذه الأبواب الخلفية المتقدمة وسارقي المعلومات لمجموعة The Earth Estries بالبقاء مختبئين أثناء استخراج المعلومات الحساسة من أهدافهم.

استغلال الثغرات الأمنية للوصول الأولي

وللوصول إلى أهدافها، تعتمد Earth Estries بشكل كبير على نقاط الضعف N-day، وهي عيوب في البرامج تم الكشف عنها علنًا ولكن لم يتم إصلاحها بعد من قبل المستخدمين. وتشمل بعض نقاط الضعف الأكثر استغلالًا تلك الموجودة في Ivanti Connect Secure وFortinet FortiClient EMS وSophos Firewall وMicrosoft Exchange Server. وبمجرد استغلال هذه الثغرات، تنشر Earth Estries برامجها الخبيثة المخصصة، وتدمج نفسها بشكل أكبر في الشبكة المخترقة للمراقبة طويلة الأمد وجمع البيانات.

مجموعة معقدة ومنظمة بشكل جيد

تعمل مجموعة Earth Estries وفقًا لمنهجية منظمة ومنظمة للغاية. واستنادًا إلى تحليل العديد من الحملات، يبدو أن فرقًا مختلفة داخل المجموعة مسؤولة عن استهداف مناطق وصناعات محددة. كما أن البنية الأساسية للقيادة والتحكم (C2) للمجموعة لامركزية أيضًا، حيث تدير فرق منفصلة عمليات خلفية مختلفة. ويسمح هذا التقسيم بسلسلة أكثر تعقيدًا وتنسيقًا من الهجمات عبر قطاعات مختلفة.

GhostSpider: غرسة متعددة الوحدات

في قلب عمليات شركة Earth Estries، توجد أداة GhostSpider المزروعة. تتواصل هذه الأداة المتطورة مع البنية التحتية التي يتحكم فيها المهاجم من خلال بروتوكول مخصص مؤمن بواسطة بروتوكول أمان طبقة النقل (TLS). يمكن للأداة المزروعة استرداد وحدات إضافية حسب الحاجة، مما يؤدي إلى توسيع وظائفها. تجعلها مرونتها أداة قوية للتجسس السيبراني على المدى الطويل، مما يسمح لشركة Earth Estries بتكييف وتطوير عملياتها حسب متطلبات الموقف.

تكتيكات التخفي والتهرب

تستخدم مجموعة Earth Estries مجموعة متنوعة من تقنيات التخفي لتجنب الكشف. تبدأ المجموعة هجماتها على الأجهزة الطرفية، وتوسع نطاقها تدريجيًا إلى بيئات السحابة، مما يجعل من الصعب اكتشاف وجودها. من خلال الحفاظ على مستوى منخفض والاختباء خلف طبقات من البنية التحتية، تضمن مجموعة Earth Estries أن أنشطتها تمر دون اكتشاف لفترات طويلة، مما يسمح بجمع البيانات دون انقطاع.

شركات الاتصالات: هدف متكرر

كانت شركات الاتصالات منذ فترة طويلة هدفًا رئيسيًا لمجموعات التهديد السيبراني المرتبطة بالصين، حيث انضمت مجموعة Earth Estries إلى صفوف مجموعات أخرى مثل Granite Typhoon و Liminal Panda. تكشف هذه الهجمات عن النضج المتزايد لبرنامج الصين السيبراني، والذي تحول من الهجمات الفردية إلى جمع البيانات بالجملة والحملات المستمرة التي تستهدف مقدمي الخدمات الأساسيين. يشير تركيز مجموعة Earth Estries على مقدمي الخدمات المدارة (MSPs) ومقدمي خدمات الإنترنت (ISPs) ومقدمي المنصات إلى تحول في استراتيجية الصين للحصول على وصول مستمر إلى شبكات الاتصالات العالمية.

الخلاصة: تهديد التجسس الإلكتروني المتنامي

مع استمرار شركة Earth Estries في توسيع عملياتها، فإنها تسلط الضوء على القدرات المتنامية لمجموعات التجسس السيبراني المرتبطة بالصين. إن استخدام البرامج الضارة المتطورة، جنبًا إلى جنب مع التركيز على قطاعات البنية التحتية الحيوية، يوضح وجود تهديد منظم جيدًا ومتطور. بالنسبة للمؤسسات في المناطق المتضررة، لم تكن الحاجة إلى اليقظة المتزايدة وتدابير الأمن السيبراني القوية أكثر أهمية من أي وقت مضى.