ظلال السحابة: داخل حملة APT41 لبابٍ خلفي بلا اكتشاف

العنوان الفرعي: مجموعة صينية نخبوية في مجال الهجمات السيبرانية تنشر بابًا خلفيًا غير مرئي على لينكس لنهب بيانات اعتماد السحابة بهدوء حول العالم.

بدأ الأمر بهمسة - ذلك النوع من الحركة الشبكية التي نادرًا ما تلاحظها فرق الأمن. لكن، في الضباب الرقمي، أطلقت إحدى أشدّ الجماعات التهديدية بأسًا في العالم، APT41، بهدوء سلالة جديدة من برمجيات الأبواب الخلفية. هدفها: قلب بنية الأعمال الحديثة - أحمال العمل السحابية المبنية على لينكس. سلاحها: باب خلفي بلا اكتشاف، غير مرئي لبرامج مكافحة الفيروسات وعمليات الفحص الأمنية، صُمّم لسرقة مفاتيح أكثر السُحُب قيمةً في العالم.

حقائق سريعة

تستفيد APT41 من باب خلفي خفي بصيغة Linux ELF بلا أي اكتشافات على VirusTotal لحصد بيانات اعتماد السحابة.
تستهدف البرمجية بيئات AWS وGoogle Cloud وAzure وAlibaba، مستخدمة منفذ SMTP رقم 25 للتحكم والسيطرة بشكل خفي.
تستخدم المجموعة نطاقات مُحاكية بأخطاء إملائية (typosquatted) وبنية تحتية مقاومة للمسح لتفادي الاكتشاف.
تفحص البرمجية فور نشرها خدمات بيانات تعريف المثيل لسرقة بيانات اعتماد مؤقتة.
يُنصح المدافعون بمراقبة حركة SMTP غير المعتادة والوصول غير المصرح به إلى واجهات برمجة تطبيقات بيانات تعريف السحابة.

APT41 - المعروفة أيضًا بأسماء مستعارة مثل Winnti وWicked Panda - لها سمعة في مزج التجسس المدعوم من الدولة مع الجريمة السيبرانية لتحقيق الربح. حملتهم الأخيرة، التي كشفت عنها Breakglass Intelligence، تؤكد تطورًا مقلقًا: ثنائية Linux ELF أصلية للسحابة، مُجرّدة ومربوطة ربطًا ثابتًا، تتفادى كل محركات مكافحة الفيروسات الكبرى. وعلى مدى ما لا يقل عن ست سنوات، استثمرت APT41 في إتقان أدوات لا تترك تقريبًا أي أثر، منتقلةً من قواقع عكسية بدائية إلى حاصدات بيانات اعتماد متقدمة صُممت خصيصًا لعصر السحابة.

ما إن تهبط البرمجية على مثيل سحابي، حتى تكون خطوتها الأولى استجواب خدمة بيانات تعريف الخادم - منجم ذهب لبيانات اعتماد مؤقتة تمنح الوصول إلى موارد السحابة. وإذا ترك مسؤولو السحابة الأذونات واسعة أكثر من اللازم، يمكن لمثيل واحد مُخترق أن يتحول سريعًا إلى بوابة لكامل ممتلكات المؤسسة السحابية. ولا يتوقف الباب الخلفي عند AWS؛ بل يستهدف أيضًا Azure وGoogle Cloud وAlibaba، مُعظّمًا نطاقه عبر المشهد السحابي العالمي.

تفادي الاكتشاف فنٌّ لدى APT41. فقد سجّلت المجموعة ثلاثة نطاقات شبيهة (محاكية بأخطاء إملائية) خلال اندفاعة سريعة امتدت 24 ساعة، مستخدمةً دروع الخصوصية ومسجّلين منخفضي التكلفة. تُحاكي هذه النطاقات مزوّدي سحابة شرعيين، فتُدمج الحركة الخبيثة ضمن ضجيج الشبكة اليومي. أما حركة التحكم والسيطرة الخاصة بالبرمجية - الممرّرة عبر منفذ SMTP رقم 25 - فتتسلل متجاوزةً معظم أنظمة المراقبة، بينما لا تستجيب خوادم C2 نفسها إلا للحركة التي تُحاكي المصافحة الفريدة للبرمجية، ما يجعلها شبه مستحيلة الفحص أو الإدراج في القوائم السوداء بفعالية.

بالنسبة للمدافعين، الرهانات عالية. بيانات اعتماد السحابة هي جواهر التاج؛ فبها يستطيع المهاجمون التحرك جانبيًا، وتصعيد الصلاحيات، والاستمرار دون اكتشاف. توصي Breakglass بدفاع متعدد المحاور: على فرق الشبكات وضع إشارات على اتصالات SMTP الصادرة من خوادم غير مخصصة للبريد ومراقبة حركة UDP الغريبة إلى المنفذ 6006؛ وعلى مسؤولي الأنظمة تدقيق القراءات المشبوهة لملفات بيانات الاعتماد والوصول غير المتوقع إلى واجهات بيانات التعريف؛ وعلى مهندسي السحابة تفعيل التسجيل المتقدم، وتقييد الأذونات، والترقية إلى بروتوكولات بيانات تعريف أكثر أمانًا مثل AWS IMDSv2.

درس حملة APT41 الأخيرة صارخ: مع تحوّل السحابة إلى ساحة المعركة الجديدة، يستثمر الفاعلون التهديديون في التخفي والاستمرارية على نطاق لم يُشهد من قبل. يجب على فرق الأمن التكيف بسرعة، وإلا خاطرت بترك مهاجمين صامتين يتسللون عبر الشقوق، حاملين مفاتيح المملكة - ومستقبل الثقة الرقمية.

WIKICROOK

باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم مع تجاوز عمليات التحقق الأمنية المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
ELF (صيغة التنفيذ والربط): ELF هي صيغة ملفات معيارية للملفات التنفيذية على الأنظمة الشبيهة بيونكس، وهي أساسية لتحميل البرامج وربطها وتحليل الأمن السيبراني.
التحايل بالأخطاء الإملائية (Typosquatting): يحدث التحايل بالأخطاء الإملائية عندما يستخدم المهاجمون أسماءً شبيهة بأسماء مواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.
أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
خدمة بيانات تعريف المثيل: توفر خدمة بيانات تعريف المثيل لآلات السحابة الافتراضية بيانات تعريف وبيانات اعتماد. وتُعد إجراءات الأمان المناسبة ضرورية لمنع الوصول غير المصرح به وتعرّض البيانات.