استغلت مجموعة APT متقدمة من الغرب ثغرة غير معروفة في Microsoft Exchange لسرقة معلومات حساسة من الجيش الصيني والصناعات التكنولوجية الكبرى.

في معرض ومؤتمر الدفاع والأمن السيبراني الوطني (CYDES) الذي أقيم الأسبوع الماضي في ماليزيا، قدم باحثون من فريق RedDrip في شركة Qianxin Technology تفاصيل عن هجوم تجسسي طويل الأمد نفذته مجموعة تهديد غير معروفة أطلقوا عليها اسم "NightEagle Group"، أو APT-Q-95. ووفقًا لتقاريرهم، فإن هذه المجموعة لديها تاريخ في اختراق حسابات Microsoft للتجسس على منظمات صينية تهم الولايات المتحدة، مثل شركات تصنيع الرقائق، والشركات المتخصصة في الذكاء الاصطناعي (AI) والتقنيات الكمية، ومقاولي الدفاع، وغيرها.

في هذه الحالة، على مدار عام، يبدو أن NightEagle استغلت خطأ غامضًا في Microsoft Exchange، لسرقة "جميع رسائل البريد الإلكتروني الرئيسية المستهدفة" من منظمة غير معلنة، وفقًا لوصف RedDrip.

استغلال MS Exchange لسرقة المعلومات الاستخباراتية الصينية

تم الكشف عن الحملة عندما حدد برنامج الكشف والاستجابة في Qianxin طلبًا غير عادي لخادم أسماء النطاقات (DNS) إلى النطاق "synologyupdates.com." تعتبر Synology شركة تايوانية تصنع أجهزة التخزين المتصلة بالشبكة (NAS)، لكنها لا تعتبر "synologyupdates" من بين نطاقاتها المسجلة.

مرتبط: مجموعة APT الروسية "Fancy Bear" تضاعف جهودها في سرقة الأسرار العالمية

كانت حيلة تحديث البرنامج القديمة تخفي برامج ضارة تابعة لـ NightEagle: نسخة مخصصة من الأداة مفتوحة المصدر (OSS) "Chisel." يُستخدم Chisel لإنشاء أنفاق مشفرة بين جهازين، حتى عبر جدران الحماية، مما يجعله مفيدًا للاختراق الشبكي. قامت NightEagle بتشغيل فرعها المستند إلى Golang من Chisel كعملية مجدولة في نظام هدفها، مما أنشأ نفقًا آمنًا إلى بنيتها التحتية للتحكم والقيادة (C2).

من خلال وسائل غير معروفة، استخدم المهاجم هذا النفق للتفاعل مع وسرقة "machineKey" من خادم البريد الإلكتروني Exchange الخاص بالهدف. المخزن في ملف تكوين الخادم، يُستخدم machineKey لتشفير والتحقق من صحة البيانات الحساسة للغاية مثل ملفات تعريف الارتباط الخاصة بالمصادقة ورموز الجلسة. استخدمت NightEagle هذه القطعة الأساسية من اللغز لجعل الخادم يشغل رمزها الضار. عند هذه النقطة، كانت قادرة على قراءة بيانات البريد الإلكتروني عن بُعد من أي شخص في المنظمة.

عند سؤالها عن إمكانية وجود ثغرة في Exchange، صرح متحدث باسم Microsoft لموقع Dark Reading أن "[نحن] راجعنا هذا التقرير ولم نحدد أي ثغرات جديدة قابلة للتنفيذ حتى الآن"، لكنه أضاف أن "تحقيقنا جارٍ."

عمليات الهجوم السيبراني الأمريكية

مرتبط: قراصنة مرتبطون بحماس يستهدفون الدبلوماسيين في الشرق الأوسط

تتضافر مجموعة من العوامل لتملأ الإنترنت بالقصص حول الجهات الفاعلة الصينية في التهديدات التي تستهدف الغرب، وقلة من القصص التي تروي السرد المعاكس. تشمل هذه العوامل المشهد الإعلامي الحر في أمريكا، وصناعة الأمن السيبراني المزدهرة التي تخدم بشكل طبيعي المزيد من العملاء الغربيين، مما يؤثر على رؤيتها في أماكن أخرى، بالإضافة إلى الفروق الزمنية، والسياسات التقييدية للحزب الشيوعي الصيني، والعديد من العوامل الأخرى.

هذا لا يعكس بالضرورة التوازن الحقيقي بين الهجمات السيبرانية القادمة من كل جانب من جوانب العالم. وجد باحثو RedDrip، الذين لديهم رؤية في الشبكات الصينية، أن جهة التهديد التي تهمهم تعمل بشكل متسق وفق ساعات العمل المعتادة من 9 صباحًا إلى 6 مساءً في المنطقة الزمنية للمحيط الهادئ في الولايات المتحدة. لذلك، حددوا جهة التهديد على أنها تقع في الساحل الغربي لأمريكا الشمالية، لكنهم لم يحددوا ما إذا كانت أمريكية أو كندية.

لا ينبغي أن يكون هذا مفاجئًا، كما يقول رئيس شركة Bambenek Consulting، جون بامبنيك، لأن "لدينا وكالات مهمتها المعلنة هي بالضبط هذا. عمومًا، تركز مجتمع الاستخبارات الأمريكي على التجسس التقليدي دعمًا لأهداف الأمن القومي. وكالة الأمن القومي وقيادة الفضاء السيبراني الأمريكية هما اللاعبان الرئيسيان في هذه الأنشطة، لكن القدرات الهجومية السيبرانية موجودة في كل وكالة من وكالات مجتمع الاستخبارات الأمريكي."

مرتبط: الشركات اليابانية تعاني من آثار الفدية الطويلة

إن أداء الولايات المتحدة لعمليات الهجوم السيبراني، واستهدافها لصناعات أشباه الموصلات والذكاء الاصطناعي والدفاع في الصين هو أمر متوقع. ما هو أكثر جدلاً هو التداخل بين الجهات الفاعلة في التهديد وقطاع التكنولوجيا الخاص بها. على الرغم من أن الحكومة الأمريكية لا تتمتع بحرية قانونية مثل الصين لزرع أبواب خلفية في التكنولوجيا المطورة داخل حدودها، إلا أنها حاولت في الماضي التأثير على الشركات المحلية للتعاون، مع درجات متفاوتة من النجاح.

عند التفكير في موقف Microsoft في هذه القصة، يقيم بامبنيك، "من غير المحتمل أن تقوم وادي السيليكون بتقويض منتجاتها الخاصة، أو تتجاهل عمدًا ثغرة، دعمًا للولايات المتحدة، لسبب بسيط هو أن كل استخدام لثغرة صفرية يزيد من احتمال اكتشافها، وإعادة هندستها، ثم استخدامها من قبل كيانات أخرى."