باحثان وصفاها بأنها أطول خرق أمني حتى الآن

هجمات إلكترونية لسرقة سجلات مكالمات 12 شبكة اتصالات عالمياً

سجلات «سي دي آر» يمكن من خلالها التنصت على المكالمات وتسجيل محتواها. من المصدر

أفاد خبيران في أمن المعلومات بأن نحو 12 شبكة من شبكات الاتصالات المحمولة بإفريقيا وآسيا وأوروبا والشرق الأوسط، تتعرض منذ عام 2012 وحتى الآن لهجوم أمني مركب «متعدد الأمواج»، يتم خلاله الاختراق والسرقة والتجسس على سجلات تفاصيل المكالمات المعروفة تقنياً باسم سجلات «سي دي آر» التي توثق تفاصيل كل مكالمة هاتفية مثل الوقت والمدة وحالة الإكمال ورقم المصدر ورقم الوجهة، وهوية المتحدثين، ويمكن من خلالها التنصت على المكالمات وتسجيل محتواها.

جاء ذلك، في ورقة بحثية نشرت أخيراً، على المدونة الرسمية لشركة «سايبريزون» المتخصصة في أمن المعلومات cybereason.com/‏‏‏blog/‏‏‏operation، وكتبها اثنان من خبراء أمن المعلومات بالشركة هما عساف دهان وأميت سيربير، وأكد فيها الباحثان أن الهجوم مصدره الصين، وتقوم به عصابة الهاكرز الصينية المعروفة باسم عصابة «ايه بي تي 10»، التي تُعد من أكثر العصابات النشطة في مجال الهجمات الإلكترونية، وتُعد من مصادر التهديد المعروفة في هذا المجال عالمياً.

الجريمة الإلكترونية

وكان أعضاء عصابة «ايه بي تي 10» قد جاؤوا على رأس قائمة المطلوبين في مجال الجريمة الإلكترونية، من قبل مكتب التحقيقات الفيدرالي الأميركي «إف بي آي»، ويعتقد أنها تضم بين أعضائها ثلاثة قراصنة يعملون لحساب الحكومة الصينية، لقيامهم باختراق أكثر من 45 شركة ووكالة أميركية حكومية، وكان من بين الضحايا شركتا «اي بي إم»، و«اتش بي». وقال الباحثان إن بداية الهجوم كانت خلال عام 2012، باستخدام البرمجية الخبيثة المعروفة باسم «تشاينا تشوبر»، وهي نوع من الأكواد الخبيثة التي يتم فيها وضع أكواد لا يزيد حجمها على أربعة كيلوبايت، داخل ملف يتخذ مظهراً طبيعياً غير مثير للشكوك، ويعمل كغلاف أو قشرة تجعل الأكواد الخبيثة غير مرئية، ولذلك يشببها خبراء أمن المعلومات بالصدفة أو «القوقعة البحرية» التي تتكون من قشرة أو جدار خارجي صلب يبدو ميتاً خالياً من الحياة، في حين أنه ليس سوى طبقة حماية لكائن (رخو) حي يعيش بداخلها. وأشار الباحثان إلى أن العصابة أطلقت على هجومها اسم «الخلايا اللينة»، واستخدمت فيه صدفة أو قوقعة «تشاينا تشوبر» وتمكنوا من تحقيق اختراق هائل ومستمر، يعرقل ويتنصت ويسرق شبكات الاتصالات المحمولة الخلوية حول العالم، دون أن يعرف القائمين عليها ذلك، وبالتالي تم تصنيفه على أنه «هجمة صامتة» تتم بلا ضجة، ويمكن أن تصبح أكبر اختراق أمني معروف حتى الآن لشبكات الاتصالات المحمولة.

وقال الباحثان: «يمكننا القول بقدر عالٍ من اليقين إن الاختراق تم إجراؤه من الصين، ومن المرجح أن يكون برعاية دولة، والهجوم مستمر بلا توقف، ويجري وفق منهجية (الأمواج المتعددة) أي الذي يضم هجمات فرعية متعددة، تتم وفق توقيتات وأماكن ومستويات متنوعة، وقد استهدفت الهجمات مقدمي خدمات الاتصالات المحمولة من بلدان مختلفة، بأوروبا وآسيا وإفريقيا والشرق الأوسط، لكن لا يمكن الكشف عن هذه الشبكات والشركات التي تأثرت، لأن عملية الفحص والتحقيق لاتزال جارية».

تنصت انتقائي

وكشف التحليل والرصد الذي أجراه الباحثان، أن المهاجمين ينفذون عملية تنصت وسرقة انتقائية، وبينما يتيح لهم الاختراق الوصول إلى أي مشترك عبر الشبكة، إلا أنهم عادة ما يضيقون نطاق التنصت والمتابعة ليكون العدد الموضوع للتجسس والسرقة بين 20 و100 شخص فقط، ما يرجح أن التركيز يتم على الشخصيات البارزة ذات الأهمية الخاصة، ممن يشغلون مناصب اقتصادية وتنفيذية وأمنية وعسكرية حساسة.

وأكد الباحثان أن تحقيقاتهما لم تكشف على وجه اليقين ما إذا كان المهاجمون قد حصلوا على المحتويات الكاملة للمكالمات الهاتفية والرسائل والبيانات المتبادلة، لكن يظل نوع المعلومات التي تم جمعت لا يقدر بثمن لأي كيان يعتزم التجسس.

«سي دي آر»

واستناداً إلى البيانات المتاحة، فإن هجوم «الخلايا اللينة» يستهدف الحصول على السجلات المعروفة باسم «سي دي آر» أو سجل تفاصيل المكالمات الخاصة بشركات الاتصالات المحمولة الكبرى، وهذه السجلات عبارة عن سجل بيانات يتم إنتاجه عن طريق «مقسم الهاتف» أو غيره من معدات الاتصالات السلكية واللاسلكية، ويتم فيه توثيق تفاصيل مكالمة هاتفية أو معاملات اتصالات أخرى تمر عبر هذا الجهاز.

ويحتوي السجل على العديد من سمات المكالمة، مثل الوقت والمدة وحالة الإكمال ورقم المصدر، ورقم الوجهة، ويعد «المكافئ التلقائي» لتذاكر البطاقات الورقية التي كان يكتبها المشغلون وتوقيتها للمكالمات البعيدة المدى في تبادل هاتفي يدوي. ويحاول المهاجمون كذلك سرقة جميع البيانات المخزنة في الدليل النشط الموجود لدى الشركة، مما يعرض كل اسم مستخدم وكلمة مرور في المؤسسة للخطر، إلى جانب معلومات التعريف الشخصية الأخرى، فضلاً عن بيانات الفواتير، وسجلات تفاصيل المكالمات، وبيانات الاعتماد، وخوادم البريد الإلكتروني، والموقع الجغرافي للمستخدمين وغيرها.

موجة هجوم

وأكد الباحثان أنهما نجحا في رصد موجة من موجات هذا الهجوم، استمرت عامين على الأقل، وجرت في بيئات مزودي خدمات الاتصالات المحمولة، وكشفت مراجعات ما بعد الحادث عن أن المهاجمين قاموا بتغييرات في أنماط الهجوم في هذه الموجة كل ثلاثة أشهر.

قذيفة على الويب

وطوال الفترة الممتدة منذ عام 2012 وحتى الآن، اعتاد المهاجمون بدء كل موجة جديدة بإطلاق قذيفة على الويب من نمط «تشاينا تشوبر»، التي اكتشفت لأول مرة في عام 2012، للتحكم عن بُعد في خوادم الويب، عبر توجيهها لتعمل على خادم ضعيف مكشوف للجمهور تابع لشبكة الاتصالات المستهدفة، ومنه يقوم المهاجمون بجمع معلومات حول الشبكة ونشرها، ثم تهديد الأصول المهمة، كخوادم قاعدة البيانات، وخوادم الفواتير، والدليل النشط وغيرها، وبعد ذلك تأتي الموجة الثانية من الهجوم، وتتضمن محاولات تسلل، ثم قذيفة معدلة جديدة من «تشاينا تشوبر» وأنشطة استطلاع، لتحدث بعد ذلك لعبة «القط والفأر» المتوقعة والمعتادة بين المهاجمين والمدافعين، ثم يتوقف الهجوم ويجري استئنافه، لحين تحقيق الاختراق الصامت طويل الأمد.


«تشاينا تشوبر»

نشر موقع cnet.com، المتخصص في التقنية تقريراً قال فيه، إن بعض المحللين أثاروا شكوكاً واسعة حول علاقة هجوم «تشاينا تشوبر» بالتوتر القائم حالياً بين الولايات المتحدة والصين وتحديداً شركة «هواوي»، التي قالت الحكومة الأميركية إن لها علاقات مع الحكومة الصينية في ما يتعلق بشن هجمات أمنية عبر معدات الاتصالات التي تنتجها الشركة خصوصاً التي ستعمل مع الجيل الخامس للمحمول.

تويتر