كشفت تقارير استخبارات التهديد عن حملة تجسس سيبراني تقف وراءها مجموعة يشتبه بارتباطها بالصين تُعرف باسم UNC5221، استهدفت شركات الخدمات القانونية، ومزودي البرمجيات كخدمة (SaaS)، ومراكز التعهيد (BPOs)، والقطاعات التقنية داخل الولايات المتحدة.
ووفقاً لتقرير مشترك صادر عن Mandiant وGoogle Threat Intelligence Group (GTIG)، فإن الهدف من هذه الهجمات هو الحفاظ على وصول مستمر داخل المؤسسات المستهدفة لأكثر من عام، من أجل سرقة بيانات حساسة، واختراق بيئات العملاء لدى مزودي الخدمات السحابية، والحصول على معلومات متصلة بالأمن القومي والتجارة الدولية، إلى جانب سرقة الملكية الفكرية لدعم تطوير ثغرات يوم الصفر.
قدرات متطورة للبرمجية الخبيثة BRICKSTORM
الباب الخلفي BRICKSTORM، المكتوب بلغة Go، يتمتع بقدرات متقدمة تشمل العمل كخادم ويب، والتلاعب بنظام الملفات، وتنفيذ أوامر عبر الصدفة (Shell)، والعمل كوكيل SOCKS للتخفي. ويتصل بخوادم التحكم والسيطرة (C2) باستخدام بروتوكول WebSockets، ما يمنحه مرونة عالية في التواصل الخفي.
تؤكد التقارير أن هذه البرمجية استُخدمت سابقاً في استغلال ثغرات يوم الصفر ضمن أجهزة Ivanti Connect Secure، كما جرى توظيفها ضد بيئات تشغيل Windows في أوروبا منذ أواخر عام 2022.
أساليب خفية للحفاظ على الاستمرارية
تشير الأدلة إلى أن المهاجمين ركّزوا على الأجهزة التي لا تدعم أدوات كشف التهديد التقليدية مثل EDR، ما سمح لهم بالبقاء متخفّين في بيئات الضحايا بمتوسط زمني تجاوز 393 يوماً. كما استغلوا ثغرات Ivanti للحصول على وصول أولي، في حين يصعب تحديد طرق الاختراق الأخرى بسبب محاولاتهم المستمرة لمحو الآثار.
وتكشف التحقيقات أن المجموعة طورت أدوات إضافية مثل BRICKSTEAL، وهو فلتر خبيث لخادم Apache Tomcat، لسرقة بيانات اعتماد vCenter والتصعيد في الصلاحيات، فضلاً عن استنساخ خوادم Windows الحرجة مثل وحدات التحكم بالمجال ومزوّدات الهوية. كما زرعوا أبواباً خلفية في أنظمة Linux وBSD عبر التلاعب بملفات النظام init.d وsystemd لضمان التشغيل التلقائي عند إعادة الإقلاع، بالإضافة إلى استخدام قوالب JSP خبيثة مثل SLAYSTYLE لتنفيذ أوامر مباشرة.
أهداف استراتيجية وأدوات للكشف
تركّز الحملة على الوصول إلى رسائل البريد الإلكتروني لشخصيات رئيسية داخل المؤسسات المستهدفة، من بينهم مطورون ومسؤولو أنظمة وأفراد مشاركون في قضايا تتقاطع مع المصالح الاقتصادية والاستخباراتية للصين. وتستفيد المجموعة من خاصية الوكيل SOCKS في BRICKSTORM لإنشاء قنوات اتصال مباشرة بالتطبيقات الحيوية.
من جانبها، طورت Google أداة فحص تعتمد على سكربتات للكشف عن مؤشرات وجود BRICKSTORM في أنظمة Linux وBSD، لكنها لا تضمن اكتشاف العدوى في جميع الحالات. وأكدت Mandiant أن هذه الحملة تمثل تهديداً بالغ الخطورة نظراً لتعقيدها وقدرتها على التهرب من آليات الدفاع المتقدمة، إضافة إلى تركيزها على أهداف عالية القيمة.
