يسعى مكتب التحقيقات الفيدرالي للحصول على مساعدة عامة لتحديد المتسللين الصينيين الذين يقفون وراء الاختراقات السيبرانية العالمية

طلب مكتب التحقيقات الفيدرالي الأمريكي (FBI) المساعدة من الجمهور فيما يتعلق بتحقيق يتعلق باختراق الأجهزة الطرفية وشبكات الكمبيوتر التابعة للشركات والهيئات الحكومية.

وقالت الوكالة: “يُزعم أن مجموعة متقدمة للتهديدات المستمرة قامت بإنشاء ونشر برامج ضارة (CVE-2020-12271) كجزء من سلسلة واسعة النطاق من عمليات التطفل العشوائية على أجهزة الكمبيوتر والمصممة لاستخراج البيانات الحساسة من جدران الحماية في جميع أنحاء العالم”. قال.

“يسعى مكتب التحقيقات الفيدرالي للحصول على معلومات تتعلق بهويات الأفراد المسؤولين عن هذه الاختراقات السيبرانية.”

التطوير يأتي في أعقاب أ سلسلة من التقارير تم نشره بواسطة شركة Sophos للأمن السيبراني، وهو يؤرخ مجموعة من الحملات بين عامي 2018 و2023 التي استغلت أجهزة البنية التحتية المتطورة الخاصة بها لنشر برامج ضارة مخصصة أو إعادة توظيفها كوكلاء لتجنب الكشف.

النشاط الضار، الذي يحمل الاسم الرمزي مطلة على المحيط الهادي وتم تصميمها لإجراء المراقبة والتخريب والتجسس الإلكتروني، وقد نُسبت إلى العديد من المجموعات التي ترعاها الدولة الصينية، بما في ذلك APT31 وAPT41 وVolt Typhoon. يعود تاريخ الهجوم الأول إلى أواخر عام 2018، عندما استهدف هجوم إلكتروني شركة Cyberoam الهندية التابعة لشركة Sophos.

وقال سوفوس: “لقد استهدف الخصوم البنية التحتية الحيوية الصغيرة والكبيرة والمرافق الحكومية، في المقام الأول في جنوب وجنوب شرق آسيا، بما في ذلك موردي الطاقة النووية، ومطار العاصمة الوطنية، ومستشفى عسكري، وأجهزة أمن الدولة، ووزارات الحكومة المركزية”.

وقد تم التعرف على بعض الهجمات الجماعية اللاحقة على أنها تستفيد من ثغرات أمنية متعددة ثم صفر يوم في جدران الحماية سوفوس – CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040، و CVE-2022-3236 – لتسوية الأجهزة وتسليم الحمولات إلى كل من البرامج الثابتة للجهاز وتلك الموجودة داخل شبكة LAN الخاصة بالمؤسسة.

“منذ عام 2021 فصاعدًا، بدا أن الخصوم يحولون تركيزهم من الهجمات العشوائية واسعة النطاق إلى هجمات ضيقة التركيز شديدة الاستهداف “الاستخدام العملي على لوحة المفاتيح” ضد كيانات محددة: الوكالات الحكومية، والبنية التحتية الحيوية، ومنظمات البحث والتطوير، ومقدمي الرعاية الصحية، وتجارة التجزئة، والتمويل. والمنظمات العسكرية ومؤسسات القطاع العام في المقام الأول في منطقة آسيا والمحيط الهادئ”.

اعتبارًا من منتصف عام 2022، يقال إن المهاجمين ركزوا جهودهم على الوصول بشكل أعمق إلى مؤسسات محددة، وتجنب الاكتشاف، وجمع المزيد من المعلومات عن طريق تنفيذ الأوامر يدويًا ونشر البرامج الضارة مثل Asnarök، وGh0st RAT، وPygmy Goat، وهو كابل خلفي متطور. لتوفير الوصول المستمر عن بعد إلى جدران الحماية Sophos XG وأجهزة Linux الأخرى المحتملة.

“على الرغم من أنه لا يحتوي على أي تقنيات جديدة، إلا أن Pygmy Goat متطور للغاية في كيفية تمكين الممثل من التفاعل معه عند الطلب، مع الاندماج مع حركة مرور الشبكة العادية،” المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) قال.

“إن الكود نفسه نظيف، مع وظائف قصيرة جيدة التنظيم تساعد على التوسعة في المستقبل، ويتم فحص الأخطاء طوال الوقت، مما يشير إلى أنه تمت كتابته بواسطة مطور أو مطورين مختصين.”

تم العثور على الباب الخلفي، وهو برنامج rootkit جديد يأخذ شكل كائن مشترك (“libsophos.so”)، بعد استغلال CVE-2022-1040. ولوحظ استخدام برنامج rootkit في الفترة ما بين مارس وأبريل 2022 على جهاز حكومي وشريك تكنولوجي، ومرة ​​أخرى في مايو 2022 على جهاز في مستشفى عسكري مقره في آسيا.

يُعزى ذلك إلى أنه من عمل جهة تهديد صينية تم تتبعها داخليًا بواسطة Sophos باسم Tstark، والتي تشترك في الروابط مع جامعة العلوم الإلكترونية والتكنولوجيا الصينية (UESTC) في تشنغدو.

يأتي مزودًا “بالقدرة على الاستماع إلى حزم ICMP المصممة خصيصًا والرد عليها، والتي، إذا تم استلامها بواسطة جهاز مصاب، ستفتح وكيل SOCKS أو اتصال خلفي عكسي بعنوان IP من اختيار المهاجم.”

وقالت سوفوس إنها تصدت للحملات في مرحلتها الأولى من خلال نشر غرسة نواة مخصصة خاصة بها على الأجهزة المملوكة للجهات الفاعلة في مجال التهديد الصيني لإجراء أبحاث استغلال ضارة، بما في ذلك الأجهزة المملوكة لمعهد أبحاث Double Helix التابع لشركة Sichuan Silence Information Technology، وبالتالي اكتساب رؤية واضحة “ثغرة تنفيذ تعليمات برمجية عن بعد غير معروفة ومخفية سابقًا” في يوليو 2020.

وأضافت الشركة أن تحليل المتابعة في أغسطس 2020 أدى إلى اكتشاف ثغرة أمنية منخفضة الخطورة في تنفيذ التعليمات البرمجية عن بعد بعد المصادقة في أحد مكونات نظام التشغيل.

علاوة على ذلك، قالت الشركة المملوكة لشركة Thoma Bravo إنها لاحظت وجود نمط في تلقي تقارير مكافآت الأخطاء “المفيدة للغاية ولكنها مشبوهة في نفس الوقت” مرتين على الأقل (CVE-2020-12271 وCVE-2022-1040) ممن تشتبه في أنهم أفراد لهم علاقات. إلى المؤسسات البحثية في تشنغدو قبل استخدامها بشكل ضار.

إن النتائج مهمة، خاصة وأنها تظهر أن أنشطة البحث والتطوير النشطة في مجال نقاط الضعف تجري في منطقة سيتشوان، ثم يتم تمريرها إلى مجموعات المواجهة المختلفة التي ترعاها الدولة الصينية والتي لها أهداف وقدرات وتقنيات ما بعد الاستغلال مختلفة.

“مع حافة المحيط الهادئ لاحظنا […] قال تشستر ويسنيوسكي: “خط تجميع لتطوير برمجيات إكسبلويت يوم الصفر المرتبط بالمؤسسات التعليمية في سيتشوان بالصين”. “يبدو أن هذه الثغرات قد تمت مشاركتها مع مهاجمين ترعاهم الدولة، وهو أمر منطقي بالنسبة لدولة قومية تفرض مثل هذه المشاركة من خلال قوانين الكشف عن نقاط الضعف الخاصة بهم.”

يتزامن الاستهداف المتزايد لأجهزة الشبكات الطرفية أيضًا مع تقييم التهديد الذي أجراه المركز الكندي للأمن السيبراني (المركز السيبراني) الذي كشف عن تعرض ما لا يقل عن 20 شبكة حكومية كندية للاختراق من قبل أطقم القرصنة التي ترعاها الدولة الصينية على مدى السنوات الأربع الماضية لتعزيز قدراتها. المصالح الاستراتيجية والاقتصادية والدبلوماسية.

كما اتهمت الجهات الفاعلة في مجال التهديد الصيني باستهداف القطاع الخاص للحصول على ميزة تنافسية من خلال جمع معلومات سرية ومملوكة، إلى جانب دعم مهام “القمع العابر للحدود الوطنية” التي تسعى إلى استهداف الأويغور والتبتيين والناشطين المؤيدين للديمقراطية ومؤيدي استقلال تايوان.

وقالت إن الجهات الفاعلة في مجال التهديد السيبراني الصيني “قامت باختراق وحافظت على الوصول إلى شبكات حكومية متعددة على مدى السنوات الخمس الماضية، وجمعت الاتصالات والمعلومات القيمة الأخرى”. قال. “أرسل ممثلو التهديد رسائل بريد إلكتروني تحتوي على صور تتبع إلى المستلمين لإجراء استطلاع للشبكة.”