عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Red Menshen Espionage Campaign

Red Menshen Espionage Campaign

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

نجحت حملة تجسس إلكتروني مستمرة واستراتيجية للغاية، مرتبطة بجهة تهديد موالية للصين، في التغلغل داخل شبكات الاتصالات. والهدف الرئيسي هو مراقبة البنية التحتية الحكومية والتسلل إليها عبر استغلال بيئات الاتصالات كبوابة.

تُعزى هذه العملية طويلة الأمد إلى مجموعة التهديدات المعروفة باسم Red Menshen، والتي يتم تتبعها أيضًا تحت أسماء مستعارة مثل Earth Bluecrow وDecisiveArchitect وRed Dev 18. ومنذ عام 2021 على الأقل، استهدفت المجموعة باستمرار مزودي خدمات الاتصالات في جميع أنحاء الشرق الأوسط وآسيا، وأقامت وصولًا عميقًا وسريًا داخل الأنظمة الحيوية.

خلايا النوم الرقمية: تقنيات متقدمة للاستمرار

وصف باحثو الأمن آليات الوصول المستخدمة في هذه الحملة بأنها من بين أكثر الآليات سريةً التي رُصدت في شبكات الاتصالات. تعمل هذه التقنيات كخلايا نائمة رقمية، إذ تبقى خاملة وغير مكتشفة حتى يتم تفعيلها.

يعتمد المهاجمون على مزيج من الأدوات والتقنيات المتقدمة للغاية، بما في ذلك:

  • زرعات على مستوى النواة تعمل في أعماق نظام التشغيل
  • أبواب خلفية سلبية تتجنب أساليب الكشف التقليدية
  • أدوات جمع بيانات الاعتماد لجمع بيانات الوصول الحساسة
  • أطر عمل للتحكم والقيادة متعددة المنصات تتيح عمليات مرنة

تتيح هذه القدرات للجهة الفاعلة في التهديد الحفاظ على وجودها على المدى الطويل مع تقليل النشاط القابل للكشف.

باب خلفي غير مرئي في النواة

في قلب هذه الحملة يكمنبرنامج BPFDoor ، وهو باب خلفي قائم على نظام لينكس، يجسد التخفي والتطور. وعلى عكس البرامج الضارة التقليدية، يتجنب هذا البرنامج إنشاء مؤشرات شبكية قابلة للكشف.

بدلاً من فتح المنافذ أو الحفاظ على قنوات اتصال مرئية، يستغل برنامج BPFDoor وظيفة مرشح حزم بيركلي (BPF) داخل نواة لينكس. يقوم بفحص حركة مرور الشبكة داخلياً ولا يتم تفعيله إلا عند استلام حزمة بيانات "سحرية" مصممة خصيصاً.

يُغني هذا التصميم عن الحاجة إلى أجهزة استماع مستمرة أو أنشطة إرسال إشارات، مما يُدمج آلية وصول خفية مباشرةً في نظام التشغيل. والنتيجة هي نقطة دخول غير مرئية تقريبًا يصعب للغاية اكتشافها باستخدام أدوات المراقبة التقليدية.

التسوية الأولية: استغلال البنية التحتية الطرفية

تبدأ سلسلة الهجمات عادةً باستهداف الأنظمة المتصلة بالإنترنت والأجهزة الطرفية. وتشمل هذه الأنظمة بوابات VPN وجدران الحماية والخدمات المتصلة بالويب، وخاصة تلك المرتبطة بتقنيات المؤسسات الكبرى.

بمجرد تحقيق الوصول الأولي، يستخدم المهاجمون مجموعة من الأدوات اللاحقة للاختراق لتوسيع نطاق سيطرتهم. تشمل هذه الأدوات أطر عمل مثل CrossC2، بالإضافة إلى Sliver وTinyShell وبرامج تسجيل ضغطات المفاتيح وأدوات التخمين العشوائي. تُمكّن هذه الأدوات مجتمعةً من جمع بيانات الاعتماد، والاستطلاع الداخلي، والتنقل الجانبي عبر البيئات المخترقة.

بنية المكونات المزدوجة: التحكم والتفعيل

يعمل برنامج BPFDoor وفق بنية ثنائية الأجزاء مصممة بدقة وسرية. يوجد أحد مكوناته على النظام المخترق، حيث يراقب حركة البيانات الواردة بشكل سلبي بحثًا عن حزمة بيانات محددة مسبقًا. عند اكتشافها، يتم تفعيله عن طريق إنشاء جلسة تحكم عن بُعد.

المكون الثاني هو وحدة تحكم يُشغّلها المهاجم. تُرسل هذه الوحدة حزم بيانات مُصممة خصيصًا لتفعيل البرامج الخبيثة، ويمكنها أيضًا العمل داخل بيئة الضحية. عند نشرها داخليًا، يُمكنها التخفي في هيئة عمليات نظام شرعية، وتنسيق عمليات إصابة إضافية، وتسهيل التنقل الجانبي المُتحكم به بين الأنظمة.

المراقبة على مستوى الاتصالات: ما وراء الأبواب الخلفية التقليدية

تُظهر بعض إصدارات برنامج BPFDoor قدرات تتجاوز وظائف الباب الخلفي القياسية. ويتيح دعم بروتوكول نقل التحكم في التدفق (SCTP) مراقبة الاتصالات الخاصة بقطاع الاتصالات.

تتيح هذه الخاصية للمهاجمين الحصول على معلومات دقيقة حول نشاط المشتركين، وتتبع سلوك المستخدمين، وربما تحديد المواقع الجغرافية للأفراد المستهدفين. ونتيجة لذلك، يعمل نظام BPFDoor كطبقة مراقبة فعّالة مُدمجة في البنية التحتية للاتصالات، مما يوفر رؤية طويلة الأمد ودقيقة للعمليات الحساسة.

إعادة ابتكار التهرب: أشكال جديدة وتحسينات للتخفي

يُقدّم نوع جديد من أبواب BPFDoor تحسينات معمارية مصممة لتعزيز الحماية وإطالة العمر الافتراضي. تشمل التحسينات الرئيسية ما يلي:

  • إخفاء حزم التفعيل ضمن حركة مرور HTTPS التي تبدو شرعية
  • فرض علامة إزاحة بايت ثابتة ('9999') من أجل اكتشاف التنشيط الموثوق به
  • تقديم اتصال قائم على بروتوكول ICMP بين الأجهزة المصابة للتفاعل منخفض المستوى

تسمح هذه التقنيات بدمج حركة المرور الخبيثة بسلاسة مع نشاط الشبكة العادي، مما يقلل بشكل كبير من احتمالية اكتشافها مع الحفاظ على تنفيذ الأوامر بشكل موثوق.

تطوير أساليب العمل: نظرة أعمق في النظام

تسلط الحملة الضوء على تحول أوسع في منهجية المهاجمين. فبدلاً من الاعتماد فقط على البرامج الضارة في مساحة المستخدم، يقوم الخصوم بشكل متزايد بزرع برامج ضارة أعمق داخل بنية الحوسبة، لا سيما على مستوى النواة والبنية التحتية.

تُعدّ بيئات الاتصالات أهدافًا جذابة للغاية نظرًا لتعقيدها، الذي يشمل أنظمةً مادية، وطبقات افتراضية، وأجهزة شبكات عالية الأداء، ومكونات أساسية لشبكات الجيل الرابع والخامس مُحوسبة في حاويات. ومن خلال التكامل مع الخدمات وبيئات التشغيل المشروعة، تستطيع هذه البرامج الخبيثة التهرب من وسائل الحماية التقليدية لنقاط النهاية والبقاء دون اكتشاف لفترات طويلة.

الخلاصة: أفق جديد في التجسس الإلكتروني

تُظهر هذه الحملة تطوراً ملحوظاً في أساليب التجسس الإلكتروني. فمن خلال استغلال البنية التحتية للاتصالات وآليات التخفي على مستوى نواة النظام، يحقق المهاجمون وصولاً طويل الأمد وخفياً إلى بيئات بالغة الحساسية.

إن استخدام أدوات متطورة مثل BPFDoor، إلى جانب تقنيات التهرب المبتكرة والتكامل العميق مع الأنظمة، يُشكل تحديًا متزايدًا للمدافعين. ويتطلب اكتشاف هذه التهديدات والتخفيف من آثارها تعزيز الرؤية في الطبقات الدنيا من بنية الحوسبة وإعادة النظر في أساليب الأمن التقليدية.

الشائع

برنامج فينون الخبيث المصرفي

البرامج الضارة للأجهزة المحمولة, حصان طروادة المصرفي
كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين في البرازيل. وتُعدّ هذه البرمجية الخبيثة، التي تحمل اسم "فينون"، تحولاً ملحوظاً في بيئة الجرائم الإلكترونية...

الأكثر مشاهدة

جار التحميل...