تحذير أميركي من هجمة إلكترونية «صامتة» واسعة النطاق

أصدرت وزارة الأمن الداخلي الأميركية وفريق الاستجابة للطوارئ الأمنية الأميركي، تحذيراً أمنياً جديداً من أن مجموعة المهاجمين ومجرمي الإنترنت، المعروفة باسم «الأوراق الحمراء» الصينية، تشن حالياً هجمة واسعة النطاق ضد مؤسسات عاملة في مجالات الطاقة، والبنوك، والقطاعات الحكومية بمناطق مختلفة من العالم.

ووصف التحذير هذه الهجمة بأنها من أعقد وأخطر الهجمات، كونها تتم بمنهجية «الهجوم المتقدم المستمر»، الذي ينفذ بصمت، وباستخدام حزمة متنوعة من الأدوات القديمة والحديثة والدائمة التطور، بصورة يصعب رصدها لفترة طويلة، ويتم من خلالها القيام بعمليات تشمل السرقة، والتجسس، والتحكم عن بُعد، والتخريب.

وظهر التحذير على الموقع الرسمي لفريق الاستجابة للطوارئ الأمنية الأميركي www.us-cert.gov حديثاً، وهو كيان تابع للمركز الوطني الأميركي لدراسة الأمن السيبراني والاتصالات، المعروف باسم «إن سي سي آي سي»، وحمل التحذير رقم «تي إيه 17 ـ 117 إيه»، وهو تحديث أخير لتحذير سابق حول هجمات من النوع نفسه صدر في أبريل 2017.

هجمة «إيه بي تي»

عرّف التحذير الهجمة الحالية بأنها هجمة «إيه بي تي»، وهي نوع من الهجمات الأمنية شديدة التعقيد والتطور، وتشنها أكثر المجموعات الإجرامية خطورة، والمجموعات المدعومة من بعض الحكومات والدول، ويطلق عليها «الهجوم المتقدم المستمر»، أي الذي ينطوي على قدر كبير من التطور، ويتم تنفيذه بصورة مستمرة متواصلة فترة طويلة جداً من الزمن.

وبحسب ما ورد في التحذير، فإن هجمات «إيه بي تي» تعني مجموعة من عمليات القرصنة الخفية والمستمرة، يتم تنسيقها عادة بواسطة شخص أو أشخاص يستهدفون كياناً محدداً، ويتم الاستهداف وفق درجة عالية من السرية على مدى فترة طويلة من الزمن، يستخدم خلالها تقنيات معقدة، وبرمجيات خبيثة لاستغلال نقاط الضعف في الأنظمة، لتكون النتيجة وجود نظام خارجي للتحكم والقيادة، يراقب ويستخرج البيانات باستمرار من هدف معين، ويشارك في العملية عناصر بشرية، فضلاً عن «روبوتات» برمجية متطورة، وأدوات تقنية تقليدية.

مجموعة صينية

وكشف التحذير أن الهجمة الحالية ترتبط على الأرجح بمجوعة «إيه بي تي 10»، وهي مجموعة تجسس إلكتروني صينية تستخدم أسماء متعددة، منها «أبولو الأحمر»، و«حجر الباندا»، و«بوتاسيوم»، و«مينيو باس»، وإن كان اسم «الأوراق الحمراء» هو الأكثر شيوعاً.

ووفقاً للتحذير، فإن أبرز الضحايا الذين يستهدفهم الهجوم هم مقدمو الخدمات المستندة لحلول وتقنيات الحوسبة السحابية، التي يطلق عليها «الخدمات المدارة»، ومن بينها سلاسل التوريد، ونظم العلاقات مع المتعاملين، وقواعد البيانات الكبرى، والمعاملات المالية الإلكترونية، وذلك من حيث التصنيف التقني، أما من حيث تصنيف الأعمال، فالضحايا يتركزون في مجالات الطاقة، والبنوك والقطاعات الحكومية. ومن حيث التوزيع الجغرافي، فإن الهجمات تنطلق من آسيا، وتستهدف آسيا ثم أميركا الشمالية وأوروبا، ثم مناطق أخرى من العالم.

نظرة تاريخية

رجح التقرير أن هذه الهجمة بدأت على الأقل منذ مايو 2016، ولاتزال مستمرة حتى الآن، وتطورت عبر هذه الفترة بصورة لافتة، ووفقاً للتحليل الأولي، فإن الجهات المهاجمة تستفيد من بيانات الاعتماد الإدارية المسروقة، إلى جانب نجاحها في غرس سلسلة معقدة من البرامج الضارة على الأنظمة الأساسية للضحايا، بغرض تحقيق وصول كامل إلى الشبكات والبيانات بطريقة تبدو مشروعة لأدوات المراقبة والتأمين العاملة لدى الأنظمة والبنية التحتية للضحايا.

وينفذ المهاجمون بعد ذلك عمليات التحكم والسيطرة وإصدار الأوامر، باستخدام بروتوكول الاتصال المشفر «آر سي 4»، للتحكم في العناوين الرقمية، وتعمل العديد من هذه الهجمات على محاكاة المواقع والمحتويات الشرعية، مع التركيز بشكل خاص على انتحال مواقع تحديث «ويندوز».

برامج ضارة

نشر المهاجمون العديد من البرامج الضارة، بعضها لا يتم اكتشافه من خلال البرامج المضادة للفيروسات والبرمجيات الخبيثة المتاحة، وفي هذا السياق تم رصد مجموعة برمجيات خبيثة، منها برمجية «إس أو جي يو»، و«بي إل يو جي إكس».

وتتعرف هذه البرمجيات إلى معلومات عن نظام الضحية، تشمل اسم النظام، ومعمارية النظام، وإصدارات النظام الرئيسة والثانوية، ومقدار الذاكرة المتوافرة، ومواصفات المعالج، ولغة المستخدم، وأذونات المجموعة للمستخدم الحالي، ووقت تشغيل النظام، والعنوان الرقمي «آي بي»، ووحدة التخزين الأساسية، وبناء على هذه المعلومات، تنفذ البرمجية الخبيثة أوامر المهاجم مباشرة.

وعلى الرغم من أن البرمجيات الخبيثة المرصودة تستند إلى شيفرة برمجية معروفة، فإن المهاجمين عدلوها، لتحسين الفاعلية، وتجنب الكشف بواسطة أنظمة الحماية والتأمين القائمة.