كشف باحثون النقاب عن حملة قرصنة ضخمة تستخدم أدوات وتقنيات متطورة لاختراق شبكات الشركات حول العالم.
والمتسللون -على الأرجح – هم مجموعة معروفة تمولها الحكومة الصينية، مجهزون بكل الأدوات المخصصة. إحدى هذه الأدوات تستغل Zerologon، الاسم الذي يطلق على ثغرة في خادم Windows، تم تصحيحه في أغسطس ، والذي يمكن أن يمنح المهاجمين امتيازات مسؤول فورية على الأنظمة الضعيفة.
تستخدم شركة Symantec الاسم الرمزي Cicada للمجموعة، والتي يُعتقد على نطاق واسع أنها تمول من قِبل الحكومة الصينية وتحمل أيضًا ألقاب APT10 وStone Panda وCloud Hopper من منظمات بحثية أخرى. والمجموعة كانت نشطة في القرصنة منذ عام 2009، وتستهدف بشكل حصري تقريبًا الشركات المرتبطة باليابان. في حين أن الشركات المستهدفة في الحملة الأخيرة موجودة في الولايات المتحدة ودول أخرى، وجميعها لها روابط مع اليابان أو الشركات اليابانية.
آلية الاختراق
كتب باحثون من شركة الأمن Symantec في مجلة النقل: “مع وجود مجموعة واسعة من الصناعات المستهدفة من قِبل هذه الهجمات ، يجب على المنظمات اليابانية في جميع القطاعات أن تدرك أنها معرضة لخطر هذا النوع من النشاط.”.
وتستخدم الهجمات على نطاق واسع التحميل الجانبي لـ DLL، وهي تقنية تحدث عندما يستبدل المهاجمون ملف مكتبة ارتباط ديناميكي شرعي لـ Windows بملف ضار. ويستخدم المهاجمون التحميل الجانبي لـ DLL لإدخال البرامج الضارة في عمليات مشروعة؛ حتى يتمكنوا من منع اكتشاف الاختراق بواسطة برامج الأمان.
وتستخدم الحملة أيضًا أداة قادرة على استغلال Zerologon. وهي تعمل عن طريق إرسال سلسلة من الأصفار في سلسلة من الرسائل التي تستخدم بروتوكول Netlogon، والذي تستخدمه خوادم Windows للسماح للمستخدمين بتسجيل الدخول إلى الشبكات. يمكن للأشخاص الذين ليس لديهم مصادقة استخدام Zerologon الوصول إلى جواهر التاج الخاصة بالمؤسسة “وحدات التحكم في مجال Active Directory” التي تعمل بمثابة حارس البوابة الشامل لجميع الأجهزة المتصلة بالشبكة.
وكانت Microsoft صححت ثغرة أمنية خطيرة في تصعيد الامتيازات في أغسطس، ولكن منذ ذلك الحين يستخدمها المهاجمون لتسوية المؤسسات التي لم تقم بعد بتثبيت التحديث.
وحث كل من مكتب التحقيقات الفيدرالي ووزارة الأمن الداخلي على تصحيح الأنظمة على الفور، ومن بين الأجهزة التي تعرضت للاختراق أثناء الهجمات التي اكتشفتها شركة سيمانتيك، كانت وحدات التحكم بالمجال وخوادم الملفات. وكشف باحثو الشركة أيضًا عن أدلة على ملفات تم تسريبها من بعض الأجهزة المخترقة.
مناطق وصناعات متعددة
تشمل أهداف المخترقين مجموعة متنوعة من الصناعات ، بما في ذلك:
-السيارات، وبعض الشركات المصنعة والمنظمات المشاركة في توريد قطع غيار لصناعة السيارات مستهدفة أيضًا؛ ما يشير إلى أن هذا القطاع ذو أهمية كبيرة للمهاجمين.
-الملابس.
-التكتلات
-الإلكترونيات.
-الهندسة.
-شركات التجارة العامة.
-الحكومة.
-المنتجات الصناعية.
-مزودو الخدمة المدارة.
-التصنيع.
-الأدوية.
وربطت شركة Professional ServicesSymantec الهجمات بـ Cicada استنادًا إلى البصمات الرقمية الموجودة في البرامج الضارة ورمز الهجوم. وتضمنت بصمات الأصابع تقنيات التشويش ورمز الغلاف المتضمن في التحميل الجانبي لـ DLL، بالإضافة إلى السمات التالية المذكورة في تقرير عام 2019 من شركة الأمان Cylance.
وهو يقول “يحتوي DLL من المرحلة الثالثة على تصدير باسم “FuckYouAnti”، وتستخدم DLL من المرحلة الثالثة تقنية CppHostCLR لحقن مجموعة محمل .NET وتنفيذها، وتم تشويش برنامج NET Loader باستخدام برنامج ConfuserEx v1.0.0، والحمولة النهائية هي QuasarRAT “وهو باب خلفي مفتوح المصدر استخدمه Cicada في الماضي”.
وكتب باحثو سيمانتك: “يشير حجم العمليات أيضًا إلى مجموعة من حجم وقدرات Cicada. إن استهداف العديد من المنظمات الكبيرة في مناطق جغرافية مختلفة في الوقت نفسه سيتطلب الكثير من الموارد والمهارات التي لا تُرى بشكل عام إلا في المجموعات المدعومة من الدولة القومية. وتشير الصلة التي تربط جميع الضحايا باليابان أيضًا إلى السيكادا، والتي كان معروفًا أنها تستهدف المنظمات اليابانية في الماضي “.
إقرأ أيضا:
قراصنة أجانب يستخدمون الشركات واجهة للتخفي
ولمطالعة أخبار الاقتصاد تابع: الاقتصاد اليوم
الكاتب : هدى سعدالله
الموقع :www.tech-mag.net
نشر الخبر اول مرة بتاريخ : 2020-11-21 19:00:20
رابط الخبر
ادارة الموقع لا تتبنى وجهة نظر الكاتب او الخبر المنشور بل يقع على عاتق الناشر الاصلي
