حقائق سريعة

• مجموعة مرتبطة بالصين تُدعى PlushDaemon قامت باختراق تحديثات البرامج من خلال إصابة أجهزة التوجيه منذ عام 2018 على الأقل.
• البرمجية الخبيثة الخاصة بهم، EdgeStepper، تعيد توجيه طلبات التحديث من التطبيقات الصينية الشهيرة إلى خوادم ضارة.
• معظم الضحايا هم منظمات صينية، لكن الأهداف تشمل أيضاً كيانات في تايوان وكمبوديا ونيوزيلندا والولايات المتحدة.
• الهجوم يستغل أجهزة التوجيه القديمة (المبنية على MIPS32) كنقطة انطلاق لاختراق الشبكة.
• يوصي الباحثون بأن تقوم المؤسسات بسد ثغرات أجهزة التوجيه وتأمين بيانات اعتماد الإدارة للدفاع ضد هذا التهديد.

نوع جديد من السطو الرقمي

تخيل أن جهاز التوجيه المنزلي الموثوق لديك لا ينقل البيانات فقط، بل يعيد توجيه تحديثات البرامج الأكثر حساسية لديك بهدوء إلى وكر القراصنة. هذا ليس خيالاً ديستوبيًا: إنه الواقع الذي تم كشفه في السنوات الأخيرة، حيث حول قراصنة مرتبطون بالدولة الصينية أجهزة الشبكة العادية إلى عملاء سريين. مجموعة PlushDaemon، وهي مجموعة تهديد غير معروفة إلى حد كبير للعامة، قضت أكثر من نصف عقد في اختراق التحديثات التي تحافظ على أمان التطبيقات الحيوية.

من SolarWinds إلى PlushDaemon: تطور هجمات التحديثات

أذهل اختراق SolarWinds في عام 2020 العالم عندما أظهر كيف يمكن للمهاجمين تسميم تحديثات البرامج الموثوقة لاختراق آلاف المؤسسات. ومع ذلك، تكشف حملة PlushDaemon عن طريقة أكثر هدوءًا وخبثًا. بدلاً من استهداف شركات البرمجيات مباشرة، تتسلل PlushDaemon عبر الثغرات الرقمية - من خلال اختراق أجهزة التوجيه وغيرها من الأجهزة "الطرفية" التي تقع على الحدود بين المؤسسات والإنترنت.

بمجرد الدخول، تقوم البرمجية الخبيثة المخصصة لهم، EdgeStepper، باعتراض الطلبات الروتينية لتحديثات البرامج من برامج صينية واسعة الاستخدام مثل Sogou Pinyin وBaidu Netdisk وTencent QQ وWPS Office. وبدلاً من الاتصال بالخوادم الشرعية، يتم إعادة توجيه هذه التطبيقات بصمت إلى بنية PlushDaemon التحتية، حيث تنتظر التنزيلات الضارة. الحمولة النهائية، وهي باب خلفي يُدعى SlowStepper، تتيح للمهاجمين سرقة الملفات وكلمات المرور وملفات تعريف الارتباط للمتصفح وحتى بيانات WeChat.

لماذا يستهدفون أنفسهم؟

في تطور غريب، يبدو أن معظم ضحايا PlushDaemon هم منظمات صينية - تتراوح بين الجامعات ومصنعي الإلكترونيات. وبينما توجد بعض الأهداف في الخارج، فإن التركيز على البرمجيات الصينية يشير إلى أن المجموعة تبحث عن معلومات محلية محددة. لا تزال الأسباب غامضة، مما يغذي التكهنات حول المراقبة الداخلية أو تتبع المعارضين. والأكثر إثارة للدهشة: على الرغم من عمل PlushDaemon منذ عام 2018 على الأقل، إلا أنها بقيت إلى حد كبير دون اكتشاف، في ظل مجموعات التجسس الإلكتروني الأكثر شهرة.

دفاعات بسيطة، رهانات عالية

ما يجعل مخطط PlushDaemon فعالاً بشكل خاص هو بساطته. من خلال استغلال الثغرات القديمة وكلمات المرور الافتراضية في أجهزة التوجيه - وهي أجهزة نادرًا ما يتم تحديثها أو مراقبتها - تحصل المجموعة على موطئ قدم حيث لا ينظر المدافعون عادة. يؤكد خبراء الأمن على أهمية النظافة السيبرانية الأساسية: تحديث برمجيات أجهزة التوجيه وتغيير بيانات اعتماد الإدارة يمكن أن يكون الفارق بين الأمان والاختراق الصامت.

ويكيكروك

• التهديد المستمر المتقدم (APT): التهديد المستمر المتقدم هو هجوم إلكتروني طويل الأمد ومستهدف من قبل مجموعات ماهرة، غالبًا مدعومة من دول، تهدف إلى سرقة البيانات أو تعطيل العمليات.
• جهاز التوجيه (Router): جهاز التوجيه هو جهاز يربط بين شبكات مختلفة، مثل شبكة الواي فاي المنزلية بالإنترنت، ويوجه البيانات ويعزز أمان الشبكة.
• البرمجيات الخبيثة (Malware): البرمجيات الخبيثة هي برامج ضارة مصممة للتسلل أو إلحاق الضرر أو سرقة البيانات من الأجهزة الحاسوبية دون موافقة المستخدم.
• الباب الخلفي (Backdoor): الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا الفحوصات الأمنية العادية، وغالبًا ما يستخدمه المهاجمون للحصول على سيطرة سرية.
• البرمجيات الثابتة (Firmware): البرمجيات الثابتة هي برامج متخصصة مخزنة في الأجهزة، تدير العمليات الأساسية والأمان، وتُمكنها من العمل بشكل صحيح.