🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الهجمات الإلكترونية الصينية تستهدف قطاعات حيوية في فرنسا بتقنيات متقدمة

2–3 minutes

أعلنت وكالة الأمن السيبراني الفرنسية عن تعرض عدد من الكيانات في قطاعات حكومية واتصالات وإعلام ومالية ونقل في البلاد لهجوم إلكتروني من قبل مجموعة قرصنة صينية، حيث استفادت من ثغرات يوم الصفر (Zero-Day) في أجهزة (Ivanti Cloud Services Appliance – CSA).

تحليل الحملة السيبرانية الصينية

تم اكتشاف هذه الحملة في بداية سبتمبر 2024 ونسبت إلى مجموعة اختراق مميزة تحمل الاسم الرمزي “هوكين” (Houken)، والتي تشترك في بعض السمات مع مجموعة تهديد تُعرف باسم (UNC5174) كما تعقبتها جوجل مانديانت.

وأوضحت الوكالة الوطنية للأمن السيبراني في فرنسا أن مشغلي “هوكين” يستخدمون ثغرات يوم الصفر وجذور خفية متطورة، بالإضافة إلى مجموعة واسعة من الأدوات مفتوحة المصدر التي طورها مطورون ناطقون باللغة الصينية. تتكون بنية الهجوم من شبكات (VPN) تجارية وخوادم مخصصة.

دلالات وتداعيات الأمن السيبراني

يُعتقد أن “هوكين” تعمل كبائع وصول أولي منذ عام 2023 بهدف اختراق الشبكات المستهدفة ثم توزيع الوصول على جهات فاعلة أخرى للقيام بأنشطة استغلال لاحقة. ويشير هذا إلى نهج متعدد الأطراف في استغلال الثغرات.

تقوم الجهات الفاعلة بتحديد الثغرات، ثم تستخدمها على نطاق واسع لخلق فرص وصول، وبعد ذلك يتم توزيع الوصول على أطراف أخرى تحاول تطوير الأهداف المهمة.

في الأشهر الأخيرة، ارتبطت مجموعة (UNC5174) باستغلال ثغرات في (SAP NetWeaver) لتسليم برمجيات ضارة مثل (GOREVERSE)، كما استغلت ثغرات في برمجيات أخرى مثل (Palo Alto Networks) و(Connectwise ScreenConnect) و(F5 BIG-IP) لنشر برمجيات خبيثة مثل (SNOWLIGHT) و(GOHEAVY).

تفاصيل الهجمات المكتشفة

في الهجمات التي وثقتها (ANSSI)، تم استغلال ثلاث ثغرات في أجهزة (Ivanti CSA) لاستحصال بيانات اعتماد وإنشاء استمرارية باستخدام واحدة من ثلاث طرق:

  • نشر مباشرة لبرمجيات (PHP Web Shells)
  • تعديل برمجيات (PHP) الموجودة لإدخال قدرات برمجيات (Web Shell)
  • تثبيت وحدة نواة تعمل كجذر خفي (Rootkit)

تم استخدام أدوات عامة مثل (Behinder) و(neo-reGeorg) تليها نشر (GOREVERSE) للحفاظ على الاستمرارية بعد التحركات الجانبية. كما تم استخدام أداة نفق (HTTP Proxy) تسمى (suo5) ووحدة نواة لينكس تدعى “sysinitd.ko”.

تتكون الأداة من وحدة نواة (sysinitd.ko) وملف تنفيذي في بيئة المستخدمين (sysinitd) مثبتة على الجهاز المستهدف عبر تنفيذ سكربت (Shell Script) يسمى (install.sh). عن طريق التحكم في حركة مرور (TCP) الواردة عبر جميع المنافذ، تسمح الأداة بتنفيذ أي أمر بصلاحيات الجذر.

التحليلات والتوقعات المستقبلية

إلى جانب تنفيذ عمليات الاستطلاع والعمل في المنطقة الزمنية (UTC+8) التي تتماشى مع التوقيت القياسي للصين، حاول المهاجمون إصلاح الثغرات لمنع استغلالها من قِبل جهات أخرى غير ذات صلة.

يشتبه في أن الجهات الفاعلة تستهدف مجموعة واسعة من القطاعات بما في ذلك الحكومية والتعليمية في جنوب شرق آسيا، والمنظمات غير الحكومية في الصين، والقطاعات الحكومية والدفاعية والتعليمية والإعلامية أو الاتصالات في الغرب.

تشابه الأساليب بين “هوكين” و(UNC5174) يثير إمكانية أنها تُدار من قِبل جهة تهديد مشتركة. ومع ذلك، في حادثة واحدة على الأقل، استغلت الجهات الفاعلة الوصول لنشر أدوات تعدين العملات الرقمية، مما يبرز دافعهم المالي.

نقاش وتفاعل

ما هي التدابير الوقائية التي يمكن أن تتخذها المنظمات لحماية نفسها من مثل هذه الهجمات السيبرانية المتقدمة؟ وكيف يمكن للمجتمع الدولي تعزيز التعاون لصد التهديدات السيبرانية العالمية؟

لمزيد من المعلومات حول مصطلحات الأمن السيبراني، يمكنكم زيارة ويكيبيديا.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة