في تطور جديد يبرز التهديدات المتزايدة في الفضاء السيبراني، رُصدت مجموعة التجسس السيبراني ذات الصلة بالصين والمعروفة باسم UNC3886 وهي تستهدف أجهزة التوجيه من شركة جونيبر نتوركس. يهدف هذا الهجوم إلى نشر أبواب خلفية مخصصة، مما يسلط الضوء على قدرة المجموعة في اختراق البنية التحتية للشبكات الداخلية.

تحليل معمق وسياق تاريخي

وفقًا لتقرير صادر عن شركة Mandiant المملوكة لجوجل، فإن هذه الأبواب الخلفية تحتوي على قدرات مخصصة متعددة، بما في ذلك وظائف أبواب خلفية نشطة وسلبية، بالإضافة إلى نص برمجي مضمن لتعطيل آليات تسجيل الدخول على الأجهزة المستهدفة. وقد وُصفت هذه التطورات بأنها تطور في مهارات الخصم، الذي استغل تاريخيًا الثغرات الأمنية في أجهزة فورتينت (Fortinet) وإيفانتي (Ivanti) وفيموير (VMware) لاختراق الشبكات وإقامة وجود دائم للوصول عن بعد.

تم توثيق المجموعة لأول مرة في سبتمبر 2022، وتُعتبر مجموعة ماهرة للغاية وقادرة على استهداف أجهزة الحافة والتقنيات الافتراضية بهدف اختراق منظمات الدفاع والتكنولوجيا والاتصالات في الولايات المتحدة وآسيا. عادةً ما تستغل هذه الهجمات حقيقة أن هذه الأجهزة الطرفية للشبكات تفتقر إلى حلول مراقبة الأمن والكشف، مما يسمح لها بالعمل دون أن يُلاحظها أحد.

التأثير والآثار الأمنية

أشارت Mandiant إلى أن اختراق أجهزة التوجيه يعكس اتجاهًا حديثًا في تكتيكات الخصوم الذين يهدفون إلى التجسس، حيث يوفر الاختراق وصولاً طويل الأمد وعالي المستوى إلى البنية التحتية الحيوية للتوجيه، مع إمكانية تنفيذ أعمال أكثر تعطيلاً في المستقبل. تم رصد النشاط الأخير في منتصف عام 2024، ويشمل استخدام برمجيات مبنية على TinyShell، وهو باب خلفي مبرمج بلغة C استخدمته مجموعات صينية مثل Liminal Panda وVelvet Ant في الماضي.

رؤى الخبراء والتوسع في الموضوع

حددت Mandiant ستة أبواب خلفية مميزة مستندة إلى TinyShell، كل منها يحمل قدرة فريدة. تشمل هذه القدرات:

• appid: يدعم تحميل وتنزيل الملفات، وقشرة تفاعلية، ووكيل (SOCKS)، وتغييرات في الإعدادات مثل خادم التحكم والقيادة، ورقم المنفذ، والواجهة الشبكية.
• to: مشابه لـ appid ولكن مع مجموعة مختلفة من خوادم التحكم والقيادة الصلبة.
• irad: باب خلفي سلبي يعمل كملتقط حزم (libpcap) لاستخراج الأوامر ليتم تنفيذها على الجهاز من حزم (ICMP).
• lmpad: أداة وباب خلفي سلبي يمكنه إطلاق نص خارجي لحقن العملية في عمليات (Junos OS) الشرعية لتعطيل التسجيل.
• jdosd: ينفذ باب خلفي (UDP) مع قدرات نقل الملفات وقشرة بعيدة.
• oemd: باب خلفي سلبي يتواصل مع خادم التحكم والقيادة عبر (TCP) ويدعم أوامر (TinyShell) القياسية لتحميل وتنزيل الملفات وتنفيذ الأمر القشري.

كما يُلاحظ اتخاذ خطوات لتنفيذ البرمجيات الخبيثة من خلال تجاوز حماية (Verified Exec) في (Junos OS)، والتي تمنع تنفيذ الكود غير الموثوق به. يتم ذلك من خلال الحصول على وصول مميز إلى جهاز التوجيه من خادم طرفي يُستخدم لإدارة الأجهزة الشبكية باستخدام بيانات اعتماد شرعية. تُستخدم الأذونات المُرتفعة بعد ذلك لحقن الحمولات الضارة في ذاكرة عملية (cat) الشرعية، مما يؤدي إلى تنفيذ الباب الخلفي (lmpad) أثناء تمكين (veriexec).

الهدف الرئيسي من هذه البرمجيات الخبيثة هو تعطيل جميع سجلات الدخول الممكنة قبل أن يتصل المشغل بجهاز التوجيه للقيام بأنشطة مباشرة ومن ثم استعادة السجلات بعد قطع اتصال المشغل.

المناقشة والتوصيات

تنصح الشركات بترقية أجهزة جونيبر إلى أحدث الإصدارات التي أصدرتها جونيبر نتوركس، والتي تتضمن تخفيفات وتحديثات لتوقيعات أداة إزالة البرمجيات الخبيثة من جونيبر (JMRT). هذه التطورات تأتي بعد شهر من كشف لومن بلاك لوتس لابز أن أجهزة التوجيه من جونيبر نتوركس على مستوى المؤسسات أصبحت هدفًا لباب خلفي مخصص كجزء من حملة تُعرف باسم “J-magic” التي توزع نوعًا مختلفًا من باب خلفي معروف باسم cd00r.

أشارت الأبحاث إلى أن البرمجيات الخبيثة المنتشرة على أجهزة توجيه (Junos OS) من جونيبر نتوركس تُظهر أن UNC3886 لديها معرفة عميقة بنظم متقدمة داخلية. علاوة على ذلك، تواصل UNC3886 التركيز على السرية في عملياتها من خلال استخدام الأبواب الخلفية السلبية، إلى جانب العبث بسجلات الدخول والآثار الجنائية، مما يشير إلى التركيز على الاستدامة طويلة الأمد مع تقليل خطر الكشف.

ما رأيك في تصاعد هذه التهديدات السيبرانية وكيف يمكن للشركات تعزيز دفاعاتها ضد مثل هذه الهجمات المعقدة؟ شاركنا بآرائك على فيسبوك وتويتر.