شبكة الروبوتات Quad7
تمكن خبراء الأمن السيبراني من تحديد جهة تهديد صينية تُعرف باسم Storm-0940، تستخدم شبكة روبوتات تُدعى Quad7 لتنفيذ هجمات رش كلمات مرور معقدة ومراوغة. تُستخدم هذه الشبكة الروبوتية، التي يُشار إليها أيضًا باسم CovertNetwork-1658، لسرقة بيانات اعتماد من عملاء Microsoft المختلفين. تعمل Storm-0940 منذ عام 2021 على الأقل، وتكتسب إمكانية الوصول الأولية من خلال استخدام رش كلمات المرور وتقنيات القوة الغاشمة أو من خلال استهداف الثغرات الأمنية والتكوينات الخاطئة في تطبيقات وخدمات حافة الشبكة.
جدول المحتويات
يستهدف المهاجمون عددًا كبيرًا من الأجهزة المعرضة للخطر
تتميز Storm-0940 بتركيزها على المنظمات في مختلف أنحاء أمريكا الشمالية وأوروبا، بما في ذلك مراكز الفكر والهيئات الحكومية والمنظمات غير الحكومية وشركات المحاماة والقطاعات داخل صناعة الدفاع.
لقد قام الباحثون بدراسة شاملة لشبكة الروبوتات Quad7، والتي تسمى أيضًا 7777 أو xlogin. وقد أظهرت هذه البرامج الضارة تركيزًا خاصًا على أجهزة توجيه SOHO وأجهزة VPN من العديد من العلامات التجارية المعروفة، مثل TP-Link وZyxel وAsus وAxentra وD-Link وNETGEAR.
تتعرض هذه الأجهزة للخطر من خلال الاستفادة من نقاط الضعف الأمنية المعروفة وغير المعروفة لتنفيذ التعليمات البرمجية عن بعد. ينبع اسم شبكة الروبوتات Quad7 من حقيقة أن أجهزة التوجيه المصابة تتضمن بابًا خلفيًا يستمع إلى منفذ TCP 7777، مما يتيح الوصول عن بعد.
التكتيكات التي أظهرها الرباعي والمهاجمون
اعتبارًا من سبتمبر 2024، يبدو أن شبكة الروبوتات تُستخدم في المقام الأول لشن هجمات القوة الغاشمة على حسابات Microsoft 365، مع وجود مؤشرات على أن الجهات الفاعلة التي ترعاها الدولة الصينية من المرجح أن تكون وراء هذه العمليات.
وتشير تقديرات مايكروسوفت إلى أن مشغلي شبكة الروبوتات يتمركزون في الصين، حيث يستخدمها العديد من الجهات الفاعلة في مجال التهديدات لشن هجمات رش كلمات المرور لتمكين المزيد من استغلال الشبكة. وتشمل هذه الأنشطة اللاحقة التحرك الجانبي ونشر أحصنة طروادة للوصول عن بعد وجهود استخراج البيانات.
تعد Storm-0940 من بين تلك التي تستغل هذه الطريقة. فقد تمكنت من الوصول إلى المنظمات المستهدفة باستخدام بيانات اعتماد صالحة تم الحصول عليها من خلال هذه الهجمات - غالبًا في نفس اليوم الذي تم فيه اختراق بيانات الاعتماد. يشير هذا التحول السريع إلى الاستغلال المستهدف إلى مستوى عالٍ من التنسيق بين مشغلي شبكة الروبوتات وStorm-0940.
وفي الوقت نفسه، يستخدم CovertNetwork-1658 نهجًا أكثر تحفظًا، حيث يتم توزيع عدد صغير من محاولات تسجيل الدخول عبر حسابات متعددة في مؤسسة مستهدفة. وفي حوالي 80% من الحالات، يقتصر النشاط على محاولة تسجيل دخول واحدة لكل حساب يوميًا.
آلاف الأجهزة معرضة للخطر بسبب Quad7
ويُعتقد أن هناك ما يقدر بنحو 8000 جهاز مخترق نشط داخل الشبكة في أي لحظة، مع مشاركة حوالي 20 بالمائة فقط من هذه الأجهزة في هجمات رش كلمات المرور.
لقد لاحظ الخبراء انخفاضًا كبيرًا في البنية التحتية لشبكة الروبوتات بعد الكشف عنها للعامة، مما يشير إلى أن الجهات الفاعلة في التهديد قد تسعى إلى إنشاء بنية تحتية جديدة ببصمات أصابع معدلة لتجنب الاكتشاف.
يتيح استخدام البنية التحتية CovertNetwork-1658 لأي جهة تهديد إطلاق حملات رش كلمات المرور على نطاق أوسع بكثير، مما يعزز بشكل كبير فرص اختراق بيانات الاعتماد بنجاح والحصول على وصول أولي إلى العديد من المنظمات في فترة زمنية قصيرة.
ويؤدي هذا النطاق الواسع، إلى جانب الدوران السريع لبيانات الاعتماد المخترقة بين CovertNetwork-1658 والجهات الفاعلة في التهديد الصيني، إلى زيادة خطر تعرض الحسابات للخطر عبر مختلف القطاعات والمناطق.
يشير الخبراء الذين لاحظوا تباطؤ نشاط شبكات الروبوتات إلى أن حركة المرور لا تزال تُظهر أن Quad7 لا تزال تعمل. ومع ذلك، من الضروري أن ندرك أن هذا الانخفاض الملحوظ في أجهزة التوجيه المخترقة لا يعكس سوى الخروقات المرئية. هناك احتمال أن يكون مشغلو Quad7 قد طوروا أساليب لاختراق الأجهزة بشكل سري وتجنب الكشف.
