بقلم : فريد شوقي
تحدثنا في نفس هذا المكان ، الأسبوع الماضي ، عن تزايد إمكانيات منفذي الهجمات السيبرانية الحديثة في التلاعب بكل شيء تقريبا مع تزايد عمليات التحول الرقمي ، سواء من جانب الجهات الحكومية أو مؤسسات الأعمال الخاصة ، ونستكمل حديثنا اليوم عن مدى إمكانية بعض دول منطقة الشرق الأوسط وأفريقيا للهجمات الإلكترونية التي تستهدف بنيتها التكنولوجية التحتية واختراقها من خلال نشر برمجيات خبيثة .
وفي هذا الإطار كشفت وحدة "مانديانت" أنها بدات من عام 2019 في تحديد التدخلات في الشرق الأوسط من قبل مجموعة التجسس الصينية "يو إن سي 215" (UNC215) والرد عليها. حيث استغلت هذه الاختراقات ثغرة أمنية من خلال برنامج "مايكروسوفت شير بوينت" (Microsoft SharePoint) لتثبيت حزم الويب وبرمجيات "فوكس جورد" (FOCUSFJORD) الخبيثة على أهداف في الشرق الأوسط وآسيا الوسطى.
أوضحت بالرغم من وجود بيانات هائلة توافرت من قبل نظام (Mandiant Incident Response) ونظام "فاير آي" للمراقبة عن بُعد، عمل خبراء وحدة "مانديانت" (Mandiant) مع وكالات الدفاع الإسرائيلية لمراجعة البيانات من الاختراقات الإضافية التي استهدفت الكيانات الإسرائيلية. أظهر هذا التحليل عمليات متعددة ومتزامنة ضد المؤسسات الحكومية الإسرائيلية ومقدمي تكنولوجيا المعلومات وكيانات عاملة في مجال الاتصالات اعتباراً من يناير 2019.
وخلال هذا الوقت، استخدمت مجموعة "يو إن سي 215" تكتيكات وتقنيات وإجراءات جديدة لعرقلة مهمة الإسناد والكشف، والحفاظ على الأمان التشغيلي، ناهيك عن استخدامها لعناوين مزيفة، و الاستفادة من خطوات موثوقة أثناء الحركة الجانبية في الشبكة. وتعتقد "مانديانت" بأن هذه المجموعة ما زالت نشطة في المنطقة.
وفي تقريرها الأخير حول نشاط هذه المجموعة، سلطت "مانديانت" الضوء بشكل مُفصل حول كيفية عمل "يو إن سي 215" حيث إن المشغلين يقومون بجمع بيانات الاعتماد واستطلاع شبكة داخلية واسعة النطاق بعد عمليات الاختراق وبعد تحديد الأنظمة الرئيسية داخل الشبكة المستهدفة، مثل وحدات التحكم بالمجال وخوادم "مايكروسوفت إكسشينج"، تتحرك هذه المجموعة بشكل جانبي و تنشر برمجية "فوكس جورد" الخبيثة، فغالباً ما تستخدم هذه المجموعة توقيع "فوكس جورد" خلال المراحل الأولية لعملية الاستطلاع والاختراق، ثم تنشر لاحقاً برمجية "هايبر برو" (HYPERBRO) ، والذي يحتوي على المزيد من إمكانيات جمع المعلومات مثل التقاط الشاشة وتسجيل لوحة المفاتيح. في حين تعتمد "يو إن سي" بشكل كبير على الأدوات مخصصة و غالباً ما تمتلك مجموعات التجسس الصينية علاقات مشاركة الموارد مع المجموعات الأخرى.
ولعل أخطر ما كشف عنه التقرير أن عصابة "يو إن سي 215" اتبعت عدة محاولات لإخفاء أثرها من المدافعين عن الشبكة، مثل التخلص من الأدلة المتعلق باختراقها للشبكة بعد تحقيق الوصول الناجح إلى النظام، مما يصعب المهمة على مستجيبي الحوادث في إعادة بناء ما حدث بعد حدوث انتهاء الهجوم بالاضافة الى استغلال جهات خارجية موثوقة خلال عملية عام 2019 والتي استهدفت شبكة حكومية إسرائيلية – تمكن منفذو الهجوم من الوصول إلى هدفهم الأساسي عبر اتصالات "بروتوكول سطح المكتب البعيد" (RDP) من خلال طرف ثالث موثوق به من خلال استخدام بيانات اعتماد مسروقة من قبل منفذي الهجوم لنشر برمجية "فوكس جورد" وتنفيذ هجماتهم عن بُعد.
إجراء تعديلات تقنية على الأدوات المستخدمة للحد من حركة مرور الشبكة الصادرة واستخدام شبكات ضحية أخرى لتوكيل تعليمات القيادة والتحكم الخاصة بهم، ومن المحتمل أن يقلل ذلك من مخاطر الاكتشاف ويزيد من إمكانية الاندماج مع حركة مرور الشبكة العادية علاوة على زرع عناوين وأعلام مزيفة كاستخدام كتابات فارسية لتضليل المحللين وإيحائهم بأن هذه الهجمات نفذتها جهات إيرانية
وأرجعت وحدة "مانديانت" هذه الحملة إلى جهات تجسس صينية، الذين يتتبعونهم باسم "يو إن سي 215" و هي مجموعة تجسس صينية يشتبه في أنها تستهدف المنظمات في جميع أنحاء العالم منذ عام 2014. حيث تعرضت هذه المجموعة إلى العديد من المنظمات الحكومية والعاملة في قطاعات التكنولوجيا والاتصالات والصناعات الدفاعية المالية والترفيه بالإضافة إلى قطاع الرعاية الصحية. كما أنها تعمل على سرقة بيانات المنظمات المهمة لتعزيز أهداف ومخططات "بكين" المالية والدبلوماسية والاستراتيجية.
كما يوضح هذا النشاط اهتمام جمهورية الصين الاستراتيجي المستمر بمنطقة الشرق الأوسط. فهذا التجسس السيبراني يحدث على خلفية استثمارات الصين بمليارات الدولارات المتعلقة بمبادرة "الحزام والطريق" (BRI) واهتمامها بقطاع التكنولوجيا الإسرائيلي القوي.
فى النهاية اكد التقرير ان الصين أجرت العديد من حملات التطفل على طول طريق مبادرة "الحزام والطريق" لرصد العوائق المحتملة - السياسية والاقتصادية والأمنية – وفي هذا الصدد تتوقع "مانديانت" أن تستمر مجموعة "يو إن سي 215" (UNC215) في استهداف الحكومات والمنظمات المشاركة في مشاريع البنية التحتية الحيوية هذه في كل من إسرائيل والشرق الأوسط الكبير في القريب العاجل وعلى المدى المتوسط.
للحديث بقية ..