جمعت أجهزة منزلية لإخفاء هجومها.. كيف استطاعت مجموعة القرصنة الصينية تمويه اختراقها؟

اختطفت مجموعة تجسس إلكترونية صينية -تُعرف باسم "إيه بي تي31" (APT31) أجهزة التوجيه المنزلية (Routers) لتشكيل شبكة تمويه حول البنية التحتية للخادم الذي تستخدمه في الهجمات من أجل إخفاء أصول هجماتها.

ونشرت الوكالة الوطنية الفرنسية للأمن السيبراني، المعروفة أيضًا باسم "أنسي" (ANSSI)، تنبيها أمنيا يضم قائمة بـ161 عنوان تعريف حاسوبي (IP) استولت عليها المجموعة الصينية واستخدمتها في الهجمات الأخيرة ضد المنظمات الفرنسية.

وقالت الوكالة إن هجمات "إيه بي تي31″ بدأت بداية عام 2021، وما زالت مستمرة.

وقال المسؤولون الفرنسيون إن الروبوتات البرمجية التابعة لـ"إيه بي تي31" استخدمت هذه الشبكة لأداء عمليتي استطلاع ضد أهدافهم، ولتنفيذ الهجمات بأنفسها أيضًا.

وفي سلسلة من التغريدات، قال بن كويل -الباحث الأمني ​​في مركز "مايكروسوفت ثريت إنتيليجينس سنتر" (Microsoft Threat Intelligence Center)- إن إيه بي تي31 كانت تستخدم شبكة التمويه هذه لإظهار أن الهجمات على المؤسسة المستهدفة تأتي من عنوان  تعريف وطني وليس من الصين.

أحد أسباب هذا التكتيك هو أن بعض المنظمات قد تمنع حركة المرور الواردة من عناوين تعريف دولية كإجراء أمني.

ويحث مسؤولو "أنسي" الآن الشركات -في كل من فرنسا ودول أخرى- على تفقد 161 عنوانا ومعرفة إذا تم إجراء اتصالات في سجلات الشبكة هذا العام مع أحدها، مما يشير إلى أن المؤسسة ربما كانت هدفًا لعملية "إيه بي تي31".

ووفقًا لويليام ثوماس -الباحث الأمني ​​في شركة "سيجاكس" (Cyjax) الأمنية- فإن عناوين التعريف كانت موجودة في جميع أنحاء العالم، ولم تكن جميعها موجودة في فرنسا. وتم التعرف أيضًا على نسخة من البرامج الضارة لـ"إيه بي تي31″ المثبتة على أجهزة التوجيه المخترقة على برنامج "فيروس توتال" (VirusTotal) للحماية الأمنية.

وقالت الوكالة "العثور على إحدى شركات النفط الدولية ضمن العناوين لا يعني أن النظام بأكمله قد تعرض للخطر، وسيتطلب مزيدًا من التحليل".

أسلوب الاختراق

يعد أسلوب الاختراق المتمثل في استخدام أجهزة التوجيه المنزلية لإنشاء شبكات بروكسي لإخفاء أصل "هجمات الويب" أسلوبًا شائعًا هذه الأيام.

وفي معظم الحالات، يتم تجميع أجهزة التوجيه وأجهزة إنترنت الأشياء التي تم اختراقها في شبكات روبوت يتم تأجيرها بعد ذلك لمجموعات الجرائم الإلكترونية.

تستخدم هذه المجموعات الروبوتات بوصفها شبكات بروكسي عملاقة لنقل مجموعة متنوعة من الأنشطة الضارة، مثل هجمات القوة الغاشمة، واستغلال نقاط الضعف، وعمليات فحص المنافذ، وحركة المرور التي تحمل البيانات المسروقة.

ولكن استخدام هذا التكتيك على نطاق واسع ليس محصورا فقط في مجموعات الاختراق الإجرامية ذات الدوافع المالية، فقد تم اعتباره أيضًا جزءًا من ترسانة مجموعات القرصنة التابعة للدول منذ أبريل/نيسان 2018 على الأقل.

من ناحية أخرى، كانت "إيه بي تي31" أيضًا واحدة من مجموعتي القرصنة الصينيتين، جنبًا إلى جنب مع "إيه بي تي40" (APT40)، التي اتهمتها الولايات المتحدة وحلفاؤها الاثنين الماضي بتنظيم حملة قرصنة ضد خوادم "مايكروسوفت إكستشانج" (Microsoft Exchange) في وقت سابق هذا العام.

واستخدمت "إيه بي تي31" شبكات مصنوعة من أجهزة التوجيه المنزلية كطريقة لمسح الإنترنت، ثم إطلاق وإخفاء هجماتها ضد خوادم البريد الإلكتروني في "إكستشانج" في وقت سابق هذا العام؛ ومع ذلك استخدمت هذه التقنية في عمليات أخرى أيضًا.