الأمن السيبراني
#أمن_سيبراني
#حملات_الظل
حملات الظل: اختراق 70 حكومة ببرمجيات تجسس (تقرير)
كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن عملية تجسس إلكتروني واسعة النطاق أطلقت عليها اسم "حملات الظل" (Shadow Campaigns)، نجحت في اختراق عشرات الشبكات الحكومية والبنى التحتية الحيوية في 37 دولة حول العالم. وتُشير الأدلة إلى أن الفاعل هو مجموعة تهديد مدعومة من دولة، يُرجح أنها تعمل من آسيا، ويتم تتبعها تحت الرمز TGR-STA-1030 أو UNC6619.
نطاق الهجمات والأهداف الاستراتيجية
وفقاً للتقرير، نشطت المجموعة منذ يناير 2024 على الأقل، مع رصد نشاط استطلاعي استهدف كيانات حكومية مرتبطة بـ 155 دولة بين نوفمبر وديسمبر من العام الماضي. ركزت الهجمات بشكل أساسي على الوزارات الحكومية، ووكالات إنفاذ القانون، ومراقبة الحدود، والمالية، والتجارة، والطاقة، والتعدين، والهيئات الدبلوماسية.
أكد الباحثون أن الهجمات نجحت في اختراق ما لا يقل عن 70 منظمة حكومية وبنية تحتية حيوية. وشملت قائمة الضحايا منظمات تعمل في السياسات التجارية والانتخابات في الأمريكتين، ووزارات وبرلمانات في دول أوروبية متعددة، ووزارة الخزانة في أستراليا، بالإضافة إلى البنية التحتية الحكومية في تايوان.
كما تظهر الصورة المرفقة (صورة 1) التي نشرها الباحثون، فإن التوزيع الجغرافي للدول المستهدفة (في الجزء العلوي) والاختراقات المؤكدة (في الأسفل) يوضح النطاق العالمي لهذه الحملة.
توقيت الهجمات وارتباطها بالأحداث السياسية
لاحظ الباحثون أن توقيت الهجمات كان مدفوعاً بأحداث محددة. على سبيل المثال، خلال إغلاق الحكومة الأمريكية في أكتوبر 2025، أظهر الفاعل تهديداً متزايداً في فحص الكيانات عبر أمريكا الشمالية والوسطى والجنوبية.
وفي واقعة أخرى، تم اكتشاف نشاط استطلاعي كبير ضد "ما لا يقل عن 200 عنوان IP يستضيف البنية التحتية لحكومة هندوراس" قبل 30 يوماً فقط من الانتخابات الوطنية، تزامناً مع تلميحات سياسية حول العلاقات الدبلوماسية مع تايوان.
قائمة الدول والكيانات المتضررة
قيّمت Unit 42 أن مجموعة التهديد اخترقت كيانات في دول عديدة، منها:
- الأمريكتين: وزارة المناجم والطاقة في البرازيل، ووزارتين في المكسيك، وبنية تحتية حكومية في بنما.
- أوروبا: كيانات حكومية في قبرص، التشيك، ألمانيا، اليونان، إيطاليا، بولندا، البرتغال، وصربيا.
- آسيا والمحيط الهادئ: مورد رئيسي لمعدات الطاقة في تايوان، وإدارات حكومية في ماليزيا وتايلاند، وشركة طيران إندونيسية.
- أفريقيا: كيانات بنية تحتية حيوية في دول مثل نيجيريا، إثيوبيا، والكونغو الديمقراطية.
الأسلحة الرقمية: "ShadowGuard" وتقنيات التخفي
اعتمدت العمليات المبكرة على رسائل تصيد إلكتروني مخصصة للغاية تُرسل إلى المسؤولين الحكوميين، تحتوي على روابط لأرشيفات خبيثة مستضافة على خدمة Mega.nz. تضمنت هذه الملفات أداة تحميل برمجيات خبيثة تُدعى "Diaoyu" وملف صورة فارغ (zero-byte) يعمل كفحص لسلامة الملف لتجنب التحليل الأمني.
لكن الاكتشاف الأخطر كان أداة "rootkit" مخصصة لنواة Linux تعتمد على تقنية eBPF وأطلق عليها الباحثون اسم ShadowGuard. وتتميز هذه الأداة بقدرتها العالية على التخفي، حيث تعمل بالكامل داخل مساحة النواة (kernel space)، مما يسمح لها بالتلاعب بوظائف النظام الأساسية وسجلات التدقيق قبل أن تتمكن أدوات الأمان من رصدها.
تستطيع ShadowGuard إخفاء عمليات خبيثة وملفات ومجلدات محددة عن أدوات المراقبة القياسية في نظام لينكس، مما يجعل اكتشافها أمراً في غاية الصعوبة.
إلى جانب التصيد، استغلت المجموعة ما لا يقل عن 15 ثغرة أمنية معروفة للوصول الأولي، بما في ذلك ثغرات في SAP Solution Manager و Microsoft Exchange Server وأنظمة D-Link.
الخاتمة
تُمثل مجموعة TGR-STA-1030/UNC6619 تهديداً تجسسياً ناضجاً يركز على الاستخبارات الاستراتيجية والاقتصادية والسياسية. ومع استمرار تطور أدواتها مثل ShadowGuard، يجب على المؤسسات الحكومية والحيوية تعزيز دفاعاتها ومراقبة مؤشرات الاختراق (IoCs) التي وفرها التقرير بدقة.
الأسئلة الشائعة
هي عمليات تجسس إلكتروني واسعة النطاق تستهدف الحكومات والبنية التحتية الحيوية، وتُدار من قبل مجموعة تهديد مدعومة من دولة (يُرجح أنها آسيوية).
هي أداة rootkit خبيثة ومخصصة لنواة Linux تعتمد على تقنية eBPF، صممتها المجموعة لإخفاء العمليات الخبيثة والملفات عن أدوات المراقبة الأمنية.
استهدفت العمليات الاستطلاعية 155 دولة، بينما تم تأكيد اختراق منظمات في 37 دولة على الأقل.
تستخدم المجموعة رسائل تصيد مخصصة، وتستغل ثغرات أمنية معروفة في برامج مثل Microsoft Exchange وSAP، بالإضافة إلى أدوات متطورة مثل ShadowGuard.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!