تمحو برامج الحماية الأمنية لخدمات الحوسبة السحابية وتجعلها «تامة الانكشاف»

قراصنة يستخدمون «استراتيجية إلغاء التثبيت» للهجوم على شركتين صينيتين

القراصنة تمكنوا من تطبيق الاستراتيجية الجديدة بعد اكتشاف ثغرات أمنية في أنظمة مستخدمة بخدمات الحوسبة السحابية. من المصدر

شنت مجموعة قراصنة، أخيراً، هجوماً غير مسبوق على خدمات الحوسبة السحابية لاثنتين من أكبر الشركات الصينية العاملة في مجال تقنية المعلومات والاتصالات، طبقوا خلاله استراتيجية جديدة في الهجوم تحمل اسم «استراتيجية إلغاء التثبيت»، التي يتم من خلالها محو برامج الحماية القائمة على تأمين خدمات الحوسبة السحابية بالكامل، لتصبح هذه الخدمات «تامة الانكشاف»، بعدما يحصل المهاجمون على «الصلاحيات الكاملة» للمسؤولين عن حماية وتأمين تلك البرامج، لاستخدام أجهزتها العملاقة في توليد عملات الإنترنت الرقمية المشفرة.

«مجموعة روك»

ووفقاً لتقرير نشره، أول من أمس، فريق من خبراء أمن المعلومات في شركة «بالو ألتو» المتخصصة في أنظمة الحماية والتأمين على المدونة الرسمية للشركة الرسمية للفريق، فإن الهجوم استهدف البنية التحتية لخدمات الحوسبة السحابية الخاصة بشركة «علي بابا» أكبر شركات التجارة الإلكترونية في الصين، وكذلك البنية التحتية لخدمات الحوسبة السحابية الخاصة بشركة «تينسنت» التي تُعد من كبرى شركات خدمات الاتصالات في السوق الصينية.

وأوضح التقرير الذي يحمل اسم «الوحدة 42»، أن الهجوم قامت به مجموعة قراصنة معروفة باسم «مجموعة روك»، التي سبق وشنت هجمات ناجحة من قبل على أهداف كبرى داخل الصين وخارجها.

تطوّر نوعي

وأشار التقرير، إلى أن الهجمة تمت بأسلوب يحمل تطوراً نوعياً وربما يكون غير مسبوق في عالم الجريمة الإلكترونية، مبيناً أن المجرمين عادة ما يقومون بالتحايل على أنظمة الحماية وبرامج وأدوات التأمين القائمة، ويحاولون تفاديها والتسلل من ورائها لكي ينفذوا الهجوم خلسة أو يعملون على ضربها وإرباكها خلال فترة الهجوم، لكنهم هذه المرة طبقوا استراتيجية جديدة، أطلق عليها الفريق الأمني «استراتيجية إلغاء التثبيت»، ويقصد بها أن المهاجمين عمدوا إلى إزالة برامج الحماية والتأمين ومحوها من الأساس بصفة كاملة تامة، كما لو كانوا المسؤولين عن الحماية والتأمين، وقرروا إزالة تلك البرامج والأنظمة.

ثغرات أمنية

وبحسب ما نشره الفريق الأمني، فإن الاستراتيجية الجديدة للقراصنة تتسم بالجرأة غير المعهودة، حيث مكنتهم من تطبيقها بعد نجاحهم في اكتشاف واستغلال نقاط ضعف وثغرات أمنية في أنظمة عدة مستخدمة في خدمات الحوسبة السحابية، وتنتجها أكبر الشركات العالمية المتخصصة في البرمجيات، ومن بينها نظام «أوراكل ويب لوجيك» الذي تنتجه شركة «أوراكل» أكبر منتج لبرامج قواعد البيانات في العالم، ونظام «كلاود فيوجن» الذي تنتجه شركة «أدوبي» أكبر شركة لبرمجيات الرسوميات في العالم، إضافة إلى نظام «أباتشي سترتس 2» الذي يُعد من أهم أنظمة البرمجيات مفتوحة المصدر في العالم، وكان يعتقد أنه الأعلى تأميناً ومنعة أمام المهاجمين.

«أوراكل» الأبرز

وبيّن تقرير «بالو ألتو» أن الثغرة الأكبر التي استغلها المهاجمون كانت موجودة في نظام «أوراكل ويب لوجيك»، والتي تم توصيفها تحت اسم «سي في إي ـ 2017 ـ 10271»، وهي ثغرة تظهر على النسخة العاملة بأنظمة «لينكس» من هذا النظام، واستغلها المهاجمون في تنزيل برنامج خبيث يصنع «باباً خلفياً» باسم «0720. بي آي إن».

وأضاف أنه بمجرد تشغيل «الباب الخلفي»، يقوم القراصنة بتنزيل برنامج آخر يفتح غلاف حماية الأكواد الصحيحة «شيل»، مشيراً إلى أن هذا البرنامج يضم كوداً باسم «إيه 7»، ليستقر على الجهاز الضحية.

وأوضح التقرير أن «إيه 7» يقوم بأنشطة عدة منها تحقيق الاتصال المستمر للمهاجم بجذر الجهاز، وإيقاف أي أكواد أخرى تقوم بزرع برمجيات تعدين وتوليد العملات الرقمية المشفرة على الإنترنت، فضلاً عن منع أي أكواد مماثلة من الوصول إلى الجهاز، ثم إلغاء تثبيت منتجات وأنظمة الأمان والحماية المستندة إلى وكيل من على الجهاز، وتحميل وتشغيل برنامج يحمل اسم «يو بي إكس» لتشفير وتوليد العملات الرقمية المشفرة وتحديداً عملة «مونتيرو»، وبالتالي استغلال القدرات الجبارة للجهاز في توليد العملات والمتاجرة فيها، ثم ضبط وقت وتاريخ الملف الضار، ليتناسب مع عمليات التعدين، ثم إخفاء تفاصيل العملية الهجومية من سجلات نظام تشغيل «لينكس».

برامج خبيثة

وتابع التقرير أنه بعد اكتشاف المجرمين لتلك الثغرة، قاموا باستغلالها في تنزيل برامجهم الخبيثة والضارة على الحاسبات الخادمة وأنظمة البنية التحتية التي تدير خدمات الحوسبة السحابية للشركات الضحية، حيث وجهوا برامجهم الخبيثة لإنشاء «منصات» موازية على هذه الأجهزة، تحاكي كل ما يمكن أن يقوم به مسؤولو الحماية الأمنية، وتحاكي ما يملكونه من صلاحيات، ثم استخدام هذه المنصات أو «المنارات» في إزالة ومحو أنظمة الحماية والتأمين القائمة من الأساس، عبر الأوامر الخاصة بعمليات «إلغاء التثبيت»، التي يتبعها مسؤولو الحماية الأمنية في حالة اتخاذ قرار بالتخلي عن تلك الأنظمة وإلغائها، واستبدالها بأخرى مختلفة أو أكثر تطوراً.

استهداف 4 أنظمة

كشفت تحليلات فريق شركة «بالو ألتو» الأمني، أن الهجوم الجديد نفذ على مهل، إذ استغرق أشهراً عدة حتى وصل إلى هدفه النهائي. وقدر الفريق أن خطوات الهجوم الأولى بدأت في أغسطس 2018، وركز على أربعة أنظمة أمنية؛ اثنان تابعان لشركة «علي بابا»، وهما «علي بابا كلاود مونيتور»، و«علي بابا كلاود اسستانت»، فيما النظامان الآخران تابعان لـ«تينسنت»، الأول «تينسنت كلاود مونيتور»، والثاني «تينسنت هوست سيكيورتي». ولفت الفريق إلى أن الأنظمة الأربعة من فئة أنظمة التأمين السحابية التي يطلق عليها تقنياً «الأنظمة المستندة إلى وكيل».


الهجوم استهدف

البنية التحتية لخدمات

الحوسبة السحابية

الخاصة بـ«علي بابا»

و«تينسنت».

طباعة