صفحات الخداع: جواسيس إلكترونيون صينيون تلاعبوا بالشبكات العالمية عبر تطبيقات Google

العنوان الفرعي: يكشف المحققون كيف تسللت مجموعة تجسس مرتبطة بالصين متجاوزةً الدفاعات في عشرات الدول باستخدام حيل سحابية.

بدأ الأمر كاضطراب خفيف - بضعة أسطر في جدول بيانات، ووميض من نشاط سحابي. لكن تحت السطح، كانت حملة تجسس متطورة تتسلل بهدوء إلى وكالات حكومية وعمالقة الاتصالات حول العالم. والآن، بعد أشهر من العمليات السرية، كشف خبراء الأمن السيبراني خدعة رقمية بارعة: جواسيس إلكترونيون صينيون يستخدمون Google Sheets كمركز قيادة خفي لتنسيق هجمات على نطاق عالمي.

حقائق سريعة

تم اختراق ما لا يقل عن 53 منظمة في 42 دولة على يد جهة تهديد يُشتبه بارتباطها بالصين وتُتَابَع باسم UNC2814.
نشرت المجموعة بابًا خلفيًا مخصصًا يُدعى GRIDTIDE، مستفيدةً من واجهات Google Sheets API لإخفاء حركة المرور الخبيثة.
استهدفت الحملة شركات الاتصالات والوكالات الحكومية، مع الاشتباه بوجود إصابات في 20 دولة إضافية.
عطّلت Google وMandiant وشركاؤهما العملية عبر إلغاء الوصول السحابي وتعطيل البنية التحتية.
يتوقع الباحثون أن تعود جهة التهديد للظهور بتكتيكات جديدة رغم إسقاط العملية.

وفقًا لمجموعة استخبارات التهديدات لدى Google وMandiant، كانت عملية التجسس - النشطة منذ عام 2023 على الأقل - بعيدة كل البعد عن المألوف. فبدلًا من الاعتماد على قنوات التحكم والسيطرة (C2) التقليدية للبرمجيات الخبيثة، استخدم المهاجمون واجهة Google Sheets API، ما جعل اتصالاتهم تمتزج بحركة المرور السحابية الشرعية. وقد سمح ذلك بأن تمر أنشطتهم إلى حد كبير دون أن ترصدها أدوات المراقبة الأمنية القياسية.

وكان الباب الخلفي المصمم خصيصًا، والمسمى GRIDTIDE، حجر الزاوية في تكتيكاتهم. فبمجرد نشره، كان GRIDTIDE يصادق نفسه لدى Google باستخدام مفتاح خاص مُضمَّن (hardcoded) ويُنقّي “غرفة التحكم” في جدول البيانات قبل بدء الاستطلاع. ثم يجمع بصمت تفاصيل حساسة من الأنظمة المصابة - بما في ذلك أسماء المستخدمين وأسماء المضيفين وإصدارات أنظمة التشغيل ومعلومات الشبكة - ويسجل البيانات في خلية غير لافتة. وكانت أوامر المهاجمين تظهر كمدخلات غامضة في الخلية الأولى من الجدول، بينما تقوم البرمجية الخبيثة بالاستطلاع الدوري بحثًا عن تعليمات جديدة ورفع البيانات المسروقة على هيئة أجزاء مُموَّهة بذكاء.

كان تصميم GRIDTIDE منهجيًا ومتخفيًا في آن واحد. فقد اعتمدت اتصالاته على مخطط ترميز آمن للاستخدام ضمن عناوين URL، ما مكّنه من تفادي الكشف والاندماج مع السيل اليومي من حركة المرور السحابية. ويقول المحققون إن البرمجية الخبيثة كانت قادرة على تنفيذ أوامر عشوائية، ورفع الملفات أو تنزيلها، بل وحتى إعادة بناء أدوات كاملة داخل البيئة المخترقة - وكل ذلك تحت غطاء نشاط جداول البيانات المعتاد.

ورغم أن طريقة الوصول الأولي لا تزال غير معروفة، فإن حملات سابقة لـ UNC2814 استغلت ثغرات في خوادم الويب وأنظمة الحافة (edge). وهذه المرة كانت المخاطر عالية: فقد عُثر على GRIDTIDE في أنظمة تحتوي على معلومات شخصية حساسة، رغم عدم رصد سرقة بيانات مؤكدة قبل تعطيل الحملة.

جاءت عملية الإطاحة سريعة ومنسقة. فقد ألغت Google وشركاؤها الوصول إلى واجهات API، وأنهت مشاريع سحابية استخدمها المهاجمون، وحوّلت (sinkholed) النطاقات المرتبطة بالعملية. وتلقت الجهات المتضررة إشعارات مباشرة ودعمًا لتنظيف الإصابات. ومع ذلك يحذر الخبراء من أن UNC2814 مرجح أن يعيد تنظيم صفوفه، ويتكيف، ويعود - ربما بحيل أكثر تطورًا مخبأة على مرأى من الجميع.

تُعد قضية GRIDTIDE تذكيرًا صارخًا بأن حتى أكثر الأدوات ألفة يمكن أن تتحول إلى أسلحة في أيدي خصوم مهرة. وبينما يسد المدافعون الثغرات ويعيدون معايرة حساساتهم، يبقى أمر واحد واضحًا: في عصر الحوسبة السحابية، أصبحت الحدود بين النشاط الشرعي والخبيث أكثر ضبابية من أي وقت مضى.

WIKICROOK

باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
API (واجهة برمجة التطبيقات): واجهة برمجة التطبيقات هي مجموعة قواعد تتيح لأنظمة برمجية مختلفة التواصل، وتعمل كجسر بين التطبيقات. وتُعد واجهات API أهدافًا شائعة في الأمن السيبراني.
Sinkhole: الـ sinkhole هو أسلوب في الأمن السيبراني يعيد توجيه حركة المرور الخبيثة إلى خوادم مُتحكَّم بها، ما يتيح للخبراء حجب الهجمات ودراسة التهديدات السيبرانية.
مؤشر اختراق (IoC): مؤشر الاختراق (IOC) هو دليل، مثل ملف مشبوه أو عنوان IP، يشير إلى أن نظامًا ما قد يكون تعرض للاختراق.