كشفت الوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI) أن عددًا من الكيانات في قطاعات حكومية واتصالات وإعلام ومالية ونقل داخل فرنسا تعرضت لهجمات إلكترونية متقدمة نفذتها مجموعة قرصنة صينية، عبر استغلال عدة ثغرات يوم الصفر في أجهزة Ivanti Cloud Services Appliance (CSA).
تم رصد هذه الحملة الخبيثة منذ بداية سبتمبر 2024، ونُسبت إلى مجموعة اختراق مميزة تحمل الاسم الرمزي Houken، والتي يُعتقد أن لها تداخلًا جزئيًا مع مجموعة تهديد تتابعها Google Mandiant تحت الاسم UNC5174 (المعروفة أيضًا بـ Uteus أو Uetus).
أوضحت الوكالة الفرنسية أن “القائمين على هذه الحملة يستخدمون ثغرات يوم الصفر وجذور خفية متقدمة (rootkits)، كما يستفيدون من مجموعة واسعة من الأدوات مفتوحة المصدر التي طورها مبرمجون ناطقون بالصينية.” وأضافت أن بنية الهجوم لدى Houken تشمل عناصر متعددة مثل شبكات VPN تجارية وخوادم مخصصة.
استراتيجية تهديد متعددة الأطراف
رجحت الوكالة أن Houken يُستخدم منذ 2023 من قبل وسطاء وصول أولي (Initial Access Brokers)، بهدف التسلل إلى الشبكات المستهدفة ثم بيع هذا الوصول لمهاجمين آخرين مهتمين بعمليات استغلال لاحقة، وهو ما يمثل نهجًا تعاونيًا متعدد الأطراف لاستغلال الثغرات، بحسب شركة HarfangLab الفرنسية.
وذكرت الشركة: “طرف أول يحدد الثغرات، ثم يستغلها طرف ثانٍ على نطاق واسع لفتح فرص، ومن ثم تُوزع صلاحيات الوصول على أطراف ثالثة تطور الاستهداف لأهداف ذات قيمة.”
وترى الوكالة أن الجهات التي تقف خلف Houken وUNC5174 تسعى بالأساس إلى تحقيق اختراقات أولية قيّمة لبيعها إلى كيانات مرتبطة بالدولة تهدف إلى جمع معلومات استخباراتية حساسة.
استغلال واسع للثغرات ونشر أدوات متقدمة
ربطت تقارير سابقة مجموعة UNC5174 باستغلال نشط لثغرات في SAP NetWeaver بهدف نشر أداة GOREVERSE، وهي نسخة من GoReShell. كما استخدمت هذه المجموعة ثغرات في برمجيات Palo Alto Networks وConnectWise ScreenConnect وF5 BIG-IP لنشر برمجية خبيثة تُعرف باسم SNOWLIGHT، التي تقوم بدورها بإسقاط أداة نفق مبنية بلغة Go تُدعى GOHEAVY.
كما نسبت SentinelOne للمجموعة اختراقًا استهدف مؤسسة إعلامية أوروبية كبرى في سبتمبر 2024.
أما في الهجمات التي وثقتها ANSSI، فقد استغل المهاجمون ثلاث ثغرات في أجهزة Ivanti CSA وهي: CVE-2024-8963، CVE-2024-9380، وCVE-2024-8190، وذلك للحصول على بيانات الاعتماد والحفاظ على الوجود داخل الأنظمة بإحدى الطرق التالية:
-
نشر أصداف ويب (PHP Web Shells) مباشرة
-
تعديل سكربتات PHP قائمة لحقن قدرات تحكم عن بعد
-
تثبيت وحدة نواة (Kernel Module) تعمل كجذر خفي (Rootkit)
كما استخدموا أدوات ويب شل معروفة مثل Behinder وneo-reGeorg، يليها نشر GOREVERSE لضمان الاستمرارية بعد التنقل الجانبي داخل الشبكة. كذلك استعانوا بأداة نفق HTTP تُدعى suo5، وبوحدة نواة Linux تُسمى sysinitd.ko، سبق توثيقها من Fortinet في أكتوبر 2024 ويناير 2025.
وبحسب ANSSI، فإن الوحدة تتكون من ملفين: وحدة نواة (sysinitd.ko) وتنفيذية في فضاء المستخدم (sysinitd)، يتم تثبيتهما عبر سكربت shell يُدعى install.sh. وتتيح هذه الوحدة للمهاجمين تنفيذ أي أمر بصلاحيات root من خلال اعتراض حركة مرور TCP الواردة على جميع المنافذ.
نشاطات إضافية ودوافع مالية
رصدت الوكالة نشاطًا إضافيًا تمثل في محاولة المهاجمين تصحيح الثغرات التي استغلوها سابقًا، على الأرجح لمنع مهاجمين آخرين من استغلالها، مما يشير إلى محاولة احتكار الوصول.
كما رجحت الوكالة أن مدى الاستهداف يشمل قطاعات حكومية وتعليمية في جنوب شرق آسيا، ومنظمات غير حكومية في الصين، بما في ذلك هونغ كونغ وماكاو، فضلًا عن أهداف في الغرب مثل القطاعات الحكومية والدفاعية والتعليمية والإعلامية والاتصالات.
أوجه التشابه في الأساليب بين Houken وUNC5174 تدعم فرضية أن الجهتين تداران من قبل فاعل تهديد واحد. ومع ذلك، تشير حادثة واحدة على الأقل إلى أن المهاجمين استخدموا صلاحيات الوصول لنشر أدوات تعدين العملات المشفرة، ما يسلط الضوء على دوافع مالية إلى جانب الأهداف الاستخباراتية.
قالت ANSSI: “قد تكون الجهة المسؤولة عن Houken وUNC5174 كيانًا خاصًا، يبيع صلاحيات الوصول والبيانات الحساسة لجهات مرتبطة بدول، بينما يواصل تنفيذ عمليات مربحة تخدم مصالحه الخاصة.”
