في تطور جديد يسلط الضوء على خطورة التهديدات السيبرانية، كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن حملة تجسس إلكتروني واسعة النطاق استهدفت قطاعات حيوية في جنوب وجنوب شرق وشرق آسيا. الحملة، التي استمرت لسنوات، نُسبت إلى مجموعة تهديد صينية غير موثقة سابقاً أُطلق عليها اسم CL-UNK-1068، حيث يشير “CL” إلى “cluster” بينما “UNK” تعني “دوافع غير معروفة”.
أدوات متطورة وأساليب متعددة
اعتمدت المجموعة على مزيج من البرمجيات الخبيثة والأدوات مفتوحة المصدر، إضافة إلى تقنيات Living-off-the-land binaries (LOLBINs) التي تسمح لهم بالبقاء داخل الأنظمة المستهدفة لفترات طويلة. من بين الأدوات المستخدمة:
- Godzilla و ANTSWORD كقوالب ويب خبيثة.
- Xnote، وهو باب خلفي لنظام لينكس مستخدم منذ عام 2015.
- Fast Reverse Proxy (FRP) لتأمين وصول دائم.
كما لجأ المهاجمون إلى استغلال خوادم الويب لنشر هذه القوالب، ثم التحرك أفقياً داخل الشبكات وسرقة ملفات حساسة مثل ملفات التكوين والامتدادات التنفيذية، إضافة إلى قواعد بيانات وملفات نسخ احتياطي.
تقنيات مبتكرة في سرقة البيانات
من أبرز الأساليب التي اتبعتها المجموعة استخدام برنامج WinRAR لضغط الملفات، ثم تحويلها إلى صيغة نصية عبر Base64 بعد ذلك، يتم عرض المحتوى النصي مباشرة عبر القالب الخبيث، ما يسمح بتهريب البيانات دون الحاجة إلى رفع ملفات. هذه التقنية تعكس مستوى عالٍ من الابتكار في تجاوز أنظمة المراقبة الأمنية.
التركيز على سرقة بيانات الاعتماد
أظهرت التحقيقات أن المجموعة أولت اهتماماً كبيراً بسرقة بيانات الدخول وكلمات المرور، مستخدمة أدوات شهيرة مثل:
- Mimikatz لاستخراج كلمات المرور من الذاكرة.
- LsaRecorder لتسجيل كلمات مرور تسجيل الدخول.
- DumpItForLinux و Volatility Framework لاستخراج بصمات كلمات المرور.
- أدوات خاصة بـ SQL Server Management Studio للحصول على بيانات الاتصال المخزنة.
هذا التركيز على بيانات الاعتماد يعزز فرضية أن الهدف الأساسي هو التجسس الإلكتروني، خصوصاً مع استهداف قطاعات حساسة مثل الطيران والطاقة والاتصالات والدوائر الحكومية.
دوافع الحملة وأبعادها الأمنية
رغم أن الدوافع النهائية لم تُحدد بشكل قاطع، إلا أن طبيعة الأهداف والبيانات المسروقة تشير إلى أن الحملة تحمل طابعاً استخباراتياً أكثر من كونها مجرد نشاط إجرامي. كما أن القدرة على العمل عبر أنظمة تشغيل مختلفة (ويندوز ولينكس) باستخدام أدوات متباينة يعكس مرونة عالية لدى المهاجمين، ويضع تحديات إضافية أمام فرق الأمن السيبراني في المنطقة.
