ظلّ فوق الأسلاك: داخل الحصار الخفي الذي يشنّه UAT-7290 على الاتصالات العالمية

في الزوايا المعتمة من عالم الجريمة السيبرانية، برز لاعب جديد يمتلك عُدّة لا تقل دهاءً عن فعاليتها. UAT-7290، وهو تجمع قرصنة يُشتبه بدعمه من الصين، ينسج بهدوء شبكته عبر شبكات الاتصالات حول العالم، تاركًا أثرًا من البصمات الرقمية يكشف طموحات تجسسية ومهارة في تمكين هجمات سيبرانية لاحقة. أساليبه جراحية، وبرمجياته الخبيثة مصممة خصيصًا، وأهدافه - عمالقة الاتصالات - هي العمود الفقري للاتصال العالمي.

حقائق سريعة

• UAT-7290 جهة تهديد مرتبطة بالصين ونشطة منذ عام 2022 على الأقل.
• تشمل الأهداف الأساسية مزوّدي خدمات الاتصالات في جنوب آسيا، ومؤخرًا في جنوب شرق أوروبا.
• تستخدم المجموعة حزمة من البرمجيات الخبيثة المعتمدة على لينكس - RushDrop وDriveSwitch وSilentRaid - للحصول على الوصول إلى الشبكات والحفاظ عليه.
• تُحوَّل الأجهزة المخترَقة إلى صناديق ترحيل تشغيلية (ORBs)، تخدم وظائف التجسس ووظائف هجمات سيبرانية أوسع.
• يتشارك UAT-7290 تكتيكات وبنية تحتية مع مجموعات قرصنة صينية سيئة السمعة مثل Stone Panda وRedFoxtrot.

نظرة معمّقة: تشريح حصار سيبراني

تبدأ عمليات UAT-7290 باستطلاع دقيق. قبل إطلاق أي اختراق، ترسم المجموعة خريطة لشبكات الضحايا بحثًا عن نقاط الضعف، وغالبًا ما تستغل ما يُسمّى ثغرات “اليوم الواحد” - وهي عيوب كُشف عنها مؤخرًا لكن لم تُسدّ على نطاق واسع بعد. وتشمل تقنيات الوصول الأولي لديهم كسر كلمات مرور SSH بالقوة الغاشمة والاستفادة من شيفرات استغلال تجريبية (Proof-of-Concept) متاحة علنًا، متجاوزين الحاجة إلى تطوير استغلالات أصلية.

وبمجرد الدخول، ينشر UAT-7290 حزمة فريدة من برمجيات لينكس الخبيثة. تبدأ العدوى عادةً بـ RushDrop (المعروف أيضًا باسم ChronosRAT)، وهو مُسقِط (Dropper) يمهّد الطريق لمزيد من الاختراق. ثم يأتي DriveSwitch، وهو برمجية خبيثة طرفية توصل SilentRaid - زرعة متقدمة قادرة على الوصول الدائم، وتشغيل صدفة عن بُعد، وإعادة توجيه المنافذ، والتلاعب بالملفات. تتيح هذه الأدوات للمهاجمين التوغّل عميقًا في البنى التحتية الحرجة، وغالبًا ما يبقون غير مرصودين لفترات طويلة.

لكن طموحات المجموعة لا تتوقف عند التجسس. إذ يُعرف UAT-7290 أيضًا بتحويل الأنظمة المخترَقة إلى صناديق ترحيل تشغيلية (ORBs). تعمل هذه الـORBs كمراكز اتصال سرّية، تُرحِّل الأوامر والبيانات المسروقة ليس فقط لصالح UAT-7290، بل وربما لصالح جهات سيبرانية أخرى متحالفة مع الصين. أما الباب الخلفي المعروف باسم Bulbature، الذي كُشف عنه لأول مرة في أواخر 2024، فقد صُمّم خصيصًا لهذا الغرض - ليحوّل أجهزة الحافة إلى منصات انطلاق لهجمات إضافية.

ما يجعل UAT-7290 خطيرًا على نحو خاص هو قابليته للتكيّف. فالمجموعة تمزج برمجيات خبيثة مفتوحة المصدر مع أدوات مخصّصة وتستعير تكتيكات من تجمعات سيئة الصيت مثل Stone Panda وRedFoxtrot. هذا النهج الهجين يجعل الإسناد صعبًا والدفاع أشد صعوبة، إذ تتطور عملياتهم مع كل حملة.

الرهانات: الاتصالات في مرمى النيران

شبكات الاتصالات هي شرايين المجتمع الحديث، وأي اختراق فيها تتجاوز ارتداداته حدود المؤسسات الفردية. فمن خلال ترسيخ وجودهم داخل هذه الأنظمة، لا يحصد UAT-7290 المعلومات الاستخبارية فحسب، بل يفتح أيضًا أبوابًا لهجمات مستقبلية - قد تؤثر على ملايين المستخدمين. ومع ازدياد تعقيد مشهد التهديدات السيبرانية، يبرز العمل الخفي لمجموعات مثل UAT-7290 الحاجة الملحّة إلى اليقظة، والتحديث السريع للثغرات، والتعاون العالمي في الدفاع.

WIKICROOK

• المُسقِط (Dropper): المُسقِط هو نوع من البرمجيات الخبيثة يثبّت سرًا برامج خبيثة إضافية على جهاز مُصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
• صندوق ترحيل تشغيلي (ORB): صندوق الترحيل التشغيلي (ORB) هو جهاز مخترَق يستخدمه مجرمو الإنترنت لترحيل الأوامر والبيانات سرًا، مع إخفاء هويتهم وموقعهم الحقيقيين.
• One: تمنح الأذونات لمرة واحدة مواقع الويب أو التطبيقات وصولًا مؤقتًا إلى ميزات مثل الكاميرا أو الموقع، وتُلغي الوصول تلقائيًا عند المغادرة.
• هجوم القوة الغاشمة عبر SSH: هجوم القوة الغاشمة عبر SSH هو هجوم يحاول فيه المخترقون العديد من تركيبات تسجيل الدخول للوصول إلى الأنظمة عبر SSH. تساعد كلمات المرور القوية وإجراءات الأمان على منعه.
• الوصول الدائم: الوصول الدائم هو عندما يضع المهاجمون وسائل تُمكّنهم من الاحتفاظ بالسيطرة على نظام ما، حتى لو تم اكتشاف نقطة دخولهم الأصلية وإغلاقها.