كشفت تحليلات شركة Darktrace عن عملية اختراق استهدفت مؤسسة اتصالات أوروبية في الأسبوع الأول من يوليو 2025، نفّذت على نحو يتماشى مع أساليب مجموعة التجسّس السيبراني المرتبطة بالصين والمعروفة باسم Salt Typhoon. في الحادثة استغلَّ المهاجمون ثغرة في جهاز Citrix NetScaler Gateway للحصول على الوصول الأوّلي، ثم نشروا برمجية خبيثة تُعرف باسم Snappybee (المعروفة أيضاً باسم Deed RAT) عبر آلية DLL side-loading.
من هو الفاعل وما خلفيته؟
الجهة المنسوبة إليها العملية تُعرف باسم Salt Typhoon (وتُعرف أيضًا بأسماء أخرى مثل Earth Estries وFamousSparrow وUNC5807). هذه المجموعة النشطة منذ عام 2019 ترتبط بالصين، وقد اشتهرت باستهدافها مزوّدي خدمات الاتصالات، وشبكات الطاقة، والأنظمة الحكومية في الولايات المتحدة وغيرها. ولها سجل واسع في استغلال ثغرات أجهزة الحافة، والحفاظ على وجود طويل داخل الأنظمة المستهدفة، وسرقة بيانات حساسة من ضحايا في أكثر من 80 دولة عبر أمريكا الشمالية وأوروبا والشرق الأوسط وأفريقيا.
آلية الوصول والبرمجيات الخبيثة المفصَّلة
بدأ الاختراق باستغلال ثغرة في جهاز Citrix NetScaler Gateway لفتح منفذ الدخول إلى الشبكة. ثم تحرك المهاجمون نحو خوادم Citrix Virtual Delivery Agent (VDA) داخل نطاق Machine Creation Services (MCS)، واستخدموا أداة SoftEther VPN لإخفاء مصدر الهجوم وإرباك أنظمة المراقبة.
أحد مكونات الهجوم تمثّل في نشر البرمجية الخبيثة Snappybee (Deed RAT)، التي يُعتقد أنها امتداد لعائلة ShadowPad سيئة السمعة. وقد استُخدمت تقنية DLL side-loading لإطلاقها، إذ جرى تمرير ملفات DLL خبيثة إلى جانب ملفات تنفيذية شرعية لبرامج مكافحة الفيروسات مثل Norton Antivirus وBkav Antivirus وIObit Malware Fighter، بحيث يتم تنفيذ الحمولة الخبيثة دون إثارة إنذارات أمنية.
البرمجية صُممت للتواصل مع خادم خارجي عبر بروتوكول HTTP وبروتوكول TCP غير محدد الهوية، لكن تم رصد النشاط واحتواؤه قبل أن يتطور إلى تسريب فعلي للبيانات.
تكتيكات التمويه والبقاء (TTPs)
تميّزت العملية بقدرتها على إساءة استخدام أدوات وبرامج شرعية لتنفيذ التعليمات الخبيثة، وهي سمة متكررة في هجمات المجموعات الصينية المتقدمة. كما استخدم المهاجمون شبكات VPN لإخفاء البنية التحتية الحقيقية. هذه التكتيكات تجعل الكشف التقليدي المعتمد على التواقيع غير فعال، مما يعزز الحاجة إلى الاعتماد على أنظمة الكشف السلوكي وتحليل الأنماط غير المعتادة لرصد النشاطات المشبوهة.
تأثير الحادثة وتوصيات فنية فورية
على الرغم من نجاح فرق الدفاع في احتواء الهجوم قبل توسعه، فإن الحادثة تُبرز أهمية التدابير الاستباقية لحماية المؤسسات الحيوية، خصوصًا في قطاع الاتصالات. وتشمل أبرز التوصيات:
-
تحديث أنظمة Citrix وإغلاق الثغرات فور صدور التصحيحات الأمنية.
-
تفعيل توقيع SMB ومراجعة سياسات الوصول الداخلي بين خوادم MCS وVDA.
-
رصد عمليات تحميل المكتبات (DLL) غير المعتادة داخل الشبكات.
-
استخدام حلول أمنية تعتمد على الذكاء الاصطناعي والسلوك الشبكي بدلاً من الاعتماد على قواعد التواقيع التقليدية.
