عرض خصم التراخيص المتعددة
أمن الكمبيوتر مجموعة تجسس سيبرانية صينية تطلق شبكة روبوتات Raptor...

مجموعة تجسس سيبرانية صينية تطلق شبكة روبوتات Raptor Train، تستهدف الجيشين الأمريكي والتايواني

بواسطة Mura في أمن الكمبيوتر
ترجمة الى:
العربية

في تطور صادم، كشف خبراء الأمن السيبراني عن عملية شبكة روبوتات ضخمة دبرتها مجموعة تجسس برعاية الدولة الصينية. وقد اخترقت هذه الشبكة، التي تحمل الاسم الرمزي Raptor Train ، مئات الآلاف من أجهزة المكاتب الصغيرة/المنزلية (SOHO) وأجهزة إنترنت الأشياء (IoT)، مما يعرض البنية التحتية الحيوية في الولايات المتحدة وتايوان للخطر. تستهدف الشبكة الروبوتية في المقام الأول قطاعات مثل الجيش والحكومة والتعليم العالي والاتصالات والقواعد الصناعية الدفاعية.

قطار رابتور يشكل تهديدًا متعدد المستويات

وفقًا لتقرير صادر عن Black Lotus Labs، الذراع البحثي لشركة Lumen Technologies، تم بناء شبكة الروبوتات بواسطة مجموعة القرصنة الصينية المعروفة باسم Flax Typhoon . تشتهر مجموعة التهديدات المتقدمة المستمرة (APT) هذه بالتسلل إلى المنظمات التايوانية مع الحفاظ على التخفي باستخدام الحد الأدنى من البرامج الضارة وأدوات البرامج المشروعة. تقدر Black Lotus Labs أن شبكة الروبوتات أصابت أكثر من 200000 جهاز منذ إنشائها في مايو 2020. وفي ذروتها، في منتصف عام 2023، تم اختراق أكثر من 60000 جهاز بنشاط.

إن البنية الأساسية للتحكم والقيادة (C2) التي تقف وراء شبكة الروبوتات متطورة للغاية. حيث يتم تشغيل الواجهة الخلفية بواسطة منصة Node.js المركزية، في حين تقوم أداة واجهة أمامية متعددة الأنظمة تسمى Sparrow بإدارة الأجهزة المخترقة. تم تصميم Sparrow لتنفيذ الأوامر عن بُعد وإدارة الثغرات الأمنية وتسهيل نقل الملفات، وربما إطلاق هجمات رفض الخدمة الموزعة (DDoS). ومع ذلك، لم يتم الإبلاغ عن أي نشاط DDoS من شبكة الروبوتات حتى الآن.

استغلال أجهزة إنترنت الأشياء للتجسس

تنقسم شبكة روبوتات Raptor Train إلى ثلاث طبقات. تتكون الطبقة الأولى من أجهزة إنترنت الأشياء المخترقة مثل أجهزة التوجيه وأجهزة المودم وكاميرات IP وأنظمة التخزين المرفقة بالشبكة (NAS). يتم تبديل هذه الأجهزة باستمرار، وتظل نشطة لمدة 17 يومًا في المتوسط قبل استبدالها. الطبقة الثانية مسؤولة عن خوادم الاستغلال وعقد C2، بينما تدير الطبقة الثالثة الشبكة عبر منصة Sparrow .

يتم استغلال أكثر من 20 نوعًا مختلفًا من الأجهزة، بما في ذلك أجهزة المودم من ActionTec و ASUS و DrayTek Vigor، إلى جانب كاميرات IP من D-Link و Hikvision و Panasonic، باستخدام مزيج من الثغرات الأمنية المعروفة والثغرات الأمنية التي لم يتم اكتشافها بعد. البرنامج الخبيث الذي يعمل على تشغيل العقد من المستوى 1، والذي يُطلق عليه اسم Nosedive ، هو أحد أشكال زرع Mirai سيئ السمعة. يعمل Nosedive بالكامل في الذاكرة، مما يجعل اكتشافه صعبًا للغاية، ويصيب مجموعة واسعة من الأجهزة، بما في ذلك الأجهزة ذات معماريات MIPS و ARM و SuperH و PowerPC.

استهداف البنية التحتية الحيوية في الولايات المتحدة وتايوان

كانت شبكة الروبوتات تفحص وتستهدف على نطاق واسع قطاعات عسكرية وحكومية رئيسية في الولايات المتحدة، فضلاً عن المنظمات داخل القاعدة الصناعية الدفاعية. وقد لاحظ الباحثون في مختبرات بلاك لوتس نشاط شبكة الروبوتات التي تهدف إلى استغلال البرامج الضعيفة مثل خوادم Atlassian Confluence وأجهزة Ivanti Connect Secure، مع التركيز على الولايات المتحدة وتايوان.

في إحدى الحالات، استهدف مشغلو شبكة الروبوتات وكالة حكومية في كازاخستان، وهو ما يوضح مدى انتشار عملية Raptor Train على مستوى العالم. وتعتمد الهجمات على أدوات مخصصة وتقنيات متقدمة، مما يجعل من الصعب تحديد شبكة الروبوتات وتحييدها.

إنفاذ القانون واستجابة الصناعة

ردًا على التهديد الذي تشكله شبكة الروبوتات Raptor Train، قامت Black Lotus Labs بإيقاف حركة المرور من عقد وبنية أساسية معروفة لشبكة الروبوتات. تعمل وكالات إنفاذ القانون الأمريكية بنشاط على تفكيك شبكة الروبوتات، التي لا تزال تشكل تهديدًا وشيكًا للبنية الأساسية الحيوية في جميع أنحاء العالم.

في حين أن التركيز الأساسي لشبكة الروبوتات هو التجسس، فإن قدرتها على تنفيذ الأوامر عن بعد وإدارة الثغرات تثير المخاوف بشأن هجمات الحرمان من الخدمة الموزعة المحتملة أو الأنشطة التخريبية الأخرى. ومع استمرار مجتمع الأمن السيبراني في مراقبة هذا التهديد والتخفيف من حدته، يجب على المنظمات في جميع أنحاء الولايات المتحدة وتايوان أن تظل يقظة في تأمين أجهزة وشبكات إنترنت الأشياء الخاصة بها ضد المزيد من الاستغلال.

إن اكتشاف شبكة الروبوتات Raptor Train بمثابة تذكير صارخ بمدى ضعف أجهزة إنترنت الأشياء في عالم اليوم المترابط. ومع استهداف مجموعات التجسس السيبراني الصينية لقطاعات حيوية في الولايات المتحدة وتايوان، فإن الحفاظ على تدابير الأمن السيبراني القوية لم يكن أكثر أهمية من أي وقت مضى. يجب على المنظمات التأكد من تحديث شبكاتها وأجهزتها بانتظام للدفاع ضد هذه الشبكة الروبوتية المعقدة.

النقاط الرئيسية :

  • قامت مجموعة APT Flax Typhoon ببناء شبكة روبوتات Raptor Train، والتي تستهدف الكيانات العسكرية والحكومية الأمريكية والتايوانية.
  • تم إصابة أكثر من 200 ألف جهاز إنترنت الأشياء، مع التركيز على أجهزة التوجيه، وأجهزة المودم، وكاميرات IP، وأنظمة NAS.
  • تتمتع شبكة الروبوتات ببنية تحتية قوية، حيث تستخدم أدوات متقدمة مثل منصة Sparrow للإدارة والاستغلال عن بعد.
  • تعمل أجهزة إنفاذ القانون في الولايات المتحدة بشكل نشط على تحييد البنية التحتية لشبكة الروبوتات.

    • من خلال فهم تكتيكات وأهداف مجموعات مثل Flax Typhoon، يمكننا حماية بنيتنا التحتية الحيوية بشكل أفضل من التهديدات الإلكترونية المستقبلية.

    جار التحميل...