ألعاب الظل: كيف استولى قراصنة صينيون بهدوء على شبكات عسكرية في جنوب شرق آسيا
العنوان الفرعي: تكشف عملية تجسس سيبراني امتدت لسنوات عن تكتيكات متطورة وصبر طويل لدى جهات تهديد مرتبطة بالصين تستهدف مؤسسات الدفاع في جنوب شرق آسيا.
بدأ الأمر بهمسة - أوامر PowerShell شاذة تومض في سجلات شبكة عسكرية في جنوب شرق آسيا. لكن ما كشفته وحدة 42 التابعة لشركة Palo Alto Networks كان أعلى بكثير: حملة تجسس سيبراني متعددة السنوات، نسّقها قراصنة منضبطون للغاية مرتبطون بالدولة الصينية، تمكّنوا من التغلغل عميقًا داخل الخنادق الرقمية لمؤسسات عسكرية إقليمية. مهمتهم؟ ليست فوضى اقتحامٍ سريع ونهبٍ خاطف، بل استنزاف منهجي وصبور لمعلومات استخباراتية حساسة حول القدرات العسكرية والتحالفات الغربية. لم يضاهِ حرفيتهم سوى تخفّيهم، وقصتهم إنذار للمدافعين في كل مكان.
داخل العملية: صبر ودقة وابتكار
لم تكن الحملة، التي سمّتها وحدة 42 بـ CL-STA-1087، غارة سيبرانية عادية. فبدلًا من السعي إلى مكاسب سريعة، أظهر المهاجمون صبرًا عملياتيًا لافتًا - أحيانًا يظلون خامدين لأشهر، يتفادون الاكتشاف بعناية، ولا يستأنفون النشاط إلا عندما يحين الوقت المناسب. كانت عدّتهم مصممة خصيصًا: بابان خلفيان اكتُشفا حديثًا، “AppleChris” و“MemFun”، نُشرا بتقنيات نادرًا ما تُرى خارج أكثر مجموعات التهديد تقدمًا.
ما ميّز هؤلاء القراصنة لم يكن الشيفرة وحدها، بل دهاؤهم. لإخفاء بنية القيادة لديهم، لم ينشئوا خوادم مثيرة للريبة؛ بل استخدموا محلّلات إسقاط ميت (dead-drop resolvers) - يدمجون تعليمات مُشفّرة داخل خدمات ويب عادية مثل Pastebin وDropbox. وحتى لو عثر المدافعون على هذه الحسابات، ظلت عناوين القيادة والتحكم الحقيقية محمية بتشفير متعدد الطبقات، مع مفاتيح خاصة مخبأة داخل البرمجية الخبيثة نفسها.
كان المهاجمون يستهدفون ملفات شديدة التحديد: خطط تشغيلية، تسلسلات هرمية عسكرية، وأدلة على التعاون مع القوات المسلحة الغربية. كان هذا تجسسًا بمشرط لا بمطرقة. ولإبقاء وجودهم سريًا، استخدموا مراوغة متقدمة: تنفيذًا مؤجلًا لتجاوز بيئات الساندبوكس، و“تزييف الطوابع الزمنية” لإخفاء إنشاء الملفات المُدانة أو تعديلها.
وبحسب ليور روشبرغر، الباحث الرئيسي في التهديدات لدى Palo Alto Networks، فإن الانضباط الذي أظهرته هذه الجهات نادر. وقال: “حافظوا على وصول غير مكتشف لأشهر، دخلوا في سبات عند الضرورة، ونفّذوا جمعًا استخباراتيًا دقيقًا على مدى سنوات متعددة. ذلك المستوى من الانضباط أصعب تحقيقًا من مجرد بناء برمجية خبيثة جيدة.”
دروس دفاعية: لا تثق بأي خدمة (سحابية)
إحدى أكثر الدروس إثارة للقلق من CL-STA-1087 هي أن حتى منصات السحابة الشرعية واسعة الاستخدام يمكن تسليحها. ومع تزايد مزج المهاجمين لحركة المرور الخبيثة مع النشاط الطبيعي على الإنترنت، يجب على المدافعين اعتماد ضوابط أشد ومراقبة يقظة لخدمات مثل Dropbox وPastebin. وتوصي Palo Alto Networks بتقييد الوصول إلى خدمات استضافة المحتوى والتخزين غير المعتمدة، ومتابعة أي استخدام مريب عن كثب - حتى لو كان من أسماء مألوفة.
الخلاصة: اللعبة الطويلة للتجسس السيبراني
حملة CL-STA-1087 تذكير صارخ: أخطر الخصوم هم الذين ينتظرون ويتعلمون ويتخفّون. ومع ازدياد التجسس السيبراني تطورًا وصبرًا، يجب على المؤسسات تجاوز الدفاعات التفاعلية - بتدقيق حتى أكثر الأدوات الرقمية موثوقية، والاستعداد لتهديدات تختبئ على مرأى من الجميع.
WIKICROOK
- الباب الخلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم مع تجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
- الأمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- ميت: يشير مصطلح “ميت” في الأمن السيبراني إلى نظام أو عملية لم تعد نشطة، غالبًا بسبب الإيقاف أو الأعطال أو آليات الحماية.
- تزييف الطوابع الزمنية: تزييف الطوابع الزمنية هو التلاعب بالطوابع الزمنية للملفات لإخفاء تغييرات غير مصرح بها، ما يساعد المهاجمين على تفادي الاكتشاف أثناء تحقيقات الأمن السيبراني.
- مؤشر اختراق (IOC): مؤشر الاختراق (IOC) هو دليل، مثل ملف مريب أو عنوان IP، يشير إلى أن نظامًا ما قد تعرض للاختراق.
