الأمن السيبراني
#تجسس_صيني
#أمن_سيبراني
تحذير: تجسس صيني يستهدف 53 منظمة ببرمجية GRIDTIDE
أعلنت مجموعة استخبارات التهديدات التابعة لـجوجل (GTIG) بالتعاون مع مانديانت وشركاء آخرين، عن نجاحها في تعطيل حملة تجسس عالمية واسعة النطاق تُنسب إلى جهة تهديد صينية مشتبه بها، وهي المجموعة المعروفة باسم UNC2814. استهدفت هذه الحملة شبكات شركات الاتصالات والجهات الحكومية، مستخدمةً استدعاءات واجهة برمجة تطبيقات (SaaS API) لإخفاء حركة المرور الضارة.
تُعد هذه الحملة نشطة منذ عام 2023 على الأقل، وقد أثرت على 53 منظمة في 42 دولة، مع وجود اشتباه في إصابات إضافية في 20 دولة أخرى على الأقل. كما يتضح من الصورة المرفقة التي توضح الدول المتأثرة بهجمات UNC2814، فإن نطاق الهجمات واسع جداً.
تفاصيل البرمجية الخبيثة GRIDTIDE
على الرغم من أن طريقة الوصول الأولية غير معروفة، إلا أن الباحثين يشيرون إلى أن جهة التهديد UNC2814 قد استغلت سابقاً نقاط ضعف في خوادم الويب والأنظمة الطرفية للوصول إلى الأنظمة المستهدفة. وفي الحملة الأخيرة التي تم تعطيلها، قامت المجموعة بنشر باب خلفي جديد مبني بلغة C يُسمى 'GRIDTIDE'.
تُظهر الصورة التوضيحية لعملية GRIDTIDE نظرة عامة على آلية عملها. تستغل هذه البرمجية الخبيثة واجهة برمجة تطبيقات Google Sheets لإجراء عمليات القيادة والتحكم (C2) بطريقة يصعب اكتشافها. تقوم GRIDTIDE بالمصادقة على حساب خدمة جوجل باستخدام مفتاح خاص مدمج، وعند التشغيل، تقوم بتطهير جدول البيانات عن طريق حذف الصفوف من 1 إلى 1000 والأعمدة من A إلى Z.
آلية عمل GRIDTIDE في جمع البيانات
بعد ذلك، تُجري البرمجية استطلاعاً للمضيف، حيث تجمع معلومات مثل اسم المستخدم، اسم المضيف، تفاصيل نظام التشغيل، عنوان IP المحلي، اللغة، والمنطقة الزمنية. يتم تسجيل هذه البيانات في الخلية V1 ضمن جدول البيانات. تُعد الخلية A1 هي خلية الأوامر/الحالة، والتي تستطلعها GRIDTIDE باستمرار لتلقي التعليمات.
إذا كانت هناك أية تعليمات، تقوم البرمجية بالكتابة فوقها بسلسلة حالة. وإذا كانت الخلية فارغة، تعاود البرمجية المحاولة كل ثانية لمدة 120 مرة، ثم تتحول إلى فحوصات عشوائية تتراوح بين 5 إلى 10 دقائق لتقليل الضوضاء وتجنب الاكتشاف.
تدعم GRIDTIDE الأوامر التالية:
- C: تنفيذ أوامر باش مشفرة بـ Base64، وكتابة المخرجات في جدول البيانات.
- U: تحميل البيانات من الخلايا A2 إلى A<arg_2> وإعادة بناء/كتابة الملف في المسار المشفر <arg_1>.
- D: تنزيل ملف محلي <arg_1> من نقطة النهاية، وإرسال المحتويات في أجزاء بحجم 45 كيلوبايت تقريباً إلى الخلايا A2 إلى An.
تُستخدم الخلايا من A2 إلى An لكتابة مخرجات الأوامر، والملفات المستخرجة، وأدوات التحميل. وتشير جوجل إلى أن تبادلات GRIDTIDE مع خادم القيادة والتحكم (C2) تعتمد على مخطط تشفير Base64 آمن لعنوان URL، مما يساعد على التهرب من أدوات مراقبة الويب والاندماج مع حركة المرور العادية.
في إحدى الحالات على الأقل، أكدت جوجل أن برمجية GRIDTIDE قد تم نشرها على نظام يحتوي على معلومات شخصية حساسة (PII). ومع ذلك، لم يلاحظ الباحثون بشكل مباشر عملية استخراج للبيانات.
الاستجابة والتعطيل المشترك
اتخذت جوجل ومانديانت وشركاؤهما إجراءات منسقة لتعطيل هذه الحملة. شملت هذه الإجراءات إنهاء جميع مشاريع Google Cloud التي تتحكم بها UNC2814، وتعطيل البنية التحتية المعروفة، وإلغاء الوصول إلى واجهة برمجة تطبيقات Google Sheets، وتعطيل جميع المشاريع السحابية المستخدمة في عمليات القيادة والتحكم.
كما تم تحويل نطاقات التحكم الحالية والتاريخية إلى 'مصائد بيانات' (sinkholed) لمنع أي اتصالات مستقبلية. وقد تم إخطار المنظمات المتأثرة بـ GRIDTIDE مباشرة، وقُدم لهم الدعم لتنظيف الإصابات.
على الرغم من أن التعطيل الشامل للحملة قد حقق نجاحاً كبيراً، تتوقع جوجل أن تستأنف UNC2814 نشاطها باستخدام بنية تحتية جديدة في المستقبل القريب، مما يؤكد الحاجة المستمرة لليقظة الأمنية.
الأسئلة الشائعة
هي جهة تهديد صينية مشتبه بها تُنسب إليها حملة تجسس عالمية استهدفت شركات اتصالات وجهات حكومية في عشرات الدول.
هي باب خلفي جديد مبني بلغة C تستخدمه UNC2814، ويستغل واجهة برمجة تطبيقات Google Sheets لإجراء عمليات القيادة والتحكم بطريقة متخفية.
تأثرت 53 منظمة في 42 دولة على الأقل بهذه الحملة منذ عام 2023.
قامت جوجل ومانديانت بإنهاء مشاريع Google Cloud المرتبطة بالمهاجمين، وتعطيل بنيتهم التحتية، وإلغاء الوصول إلى Google Sheets API، وإخطار المنظمات المتأثرة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!