أصدر المركز الكندي للأمن السيبراني بالتعاون مع مكتب التحقيقات الفيدرالي الأميركي (FBI) تحذيرًا أمنيًا مشتركًا حول هجمات سيبرانية تنفذها مجموعة Salt Typhoon المدعومة من الصين، استهدفت شركات اتصالات عالمية كبرى، ضمن حملة تجسس إلكتروني واسعة النطاق.
وبحسب التنبيه، استغل المهاجمون ثغرة أمنية حرجة في برنامج Cisco IOS XE (المُعرفة بالرمز CVE-2023-20198، وذات تقييم خطورة 10.0/10) للوصول إلى ملفات الإعدادات في ثلاثة أجهزة شبكية تابعة لإحدى شركات الاتصالات الكندية، وذلك في منتصف فبراير 2025.
كما أقدم المهاجمون على تعديل أحد هذه الملفات لإنشاء نفق اتصال من نوع GRE (Generic Routing Encapsulation)، بهدف اعتراض حركة البيانات عبر الشبكة. ولم يتم الكشف عن اسم الشركة المستهدفة.
الهجوم لا يقتصر على قطاع الاتصالات
وحذّرت الجهات الأمنية من أن هذه الهجمات لا تقتصر على قطاع الاتصالات فقط، بل قد تُستخدم نقاط التسلل الأولى هذه كمنصات لشن هجمات لاحقة على أجهزة وشبكات أخرى.
وجاء في التحذير:
“في بعض الحالات، نُرجّح أن أنشطة المهاجمين اقتصرت على استطلاع الشبكات فقط، دون تنفيذ عمليات تدميرية مباشرة.”
وأضافت الجهات أن أجهزة الشبكات الطرفية (Edge Devices) تظل أهدافًا مغرية للجهات المدعومة من الدولة الصينية، خصوصًا عند محاولتها الحفاظ على وجود مستمر داخل شبكات مزودي خدمات الاتصالات.
وتتوافق هذه النتائج مع تقرير سابق لشركة Recorded Future، والذي كشف عن استغلال الثغرتين CVE-2023-20198 وCVE-2023-20273 لاختراق شركات اتصالات وإنترنت في كل من الولايات المتحدة وجنوب أفريقيا وإيطاليا، وإنشاء أنفاق GRE لتسهيل الوصول طويل الأمد وتسريب البيانات.
تحذيرات بريطانية من برمجيات خبيثة تستهدف أجهزة Fortinet
وفي تطور موازٍ، كشف المركز الوطني البريطاني للأمن السيبراني (NCSC) عن رصد سلالتين من البرمجيات الخبيثة تستهدف أجهزة الجدار الناري FortiGate 100D التابعة لشركة Fortinet، وهما:
-
SHOE RACK: أداة ما بعد الاستغلال، تتيح للمهاجمين تنفيذ أوامر عن بُعد وإنشاء نفق TCP عبر الجهاز المخترق.
-
UMBRELLA STAND: برمجية خبيثة تُنفذ أوامر شِل يتم إصدارها من خادم يتحكم به المهاجم.
ومن اللافت أن SHOE RACK تعتمد جزئيًا على أداة مفتوحة المصدر تُعرف باسم reverse_shell، والتي أعادت مجموعة التهديد الصينية PurpleHaze استخدامها لتطوير برنامج خبيث يعمل على نظام Windows يُعرف باسم GoReShell.
ولا يزال من غير الواضح ما إذا كانت هذه الأنشطة مترابطة.
وأشار تقرير المركز البريطاني إلى تشابهات بين UMBRELLA STAND وبرمجية خلفية تُعرف باسم COATHANGER، سبق أن استخدمها مهاجمون صينيون مدعومون من الدولة في هجوم استهدف شبكة القوات المسلحة الهولندية.
