كشفت شركة Sygnia أن مجموعة قرصنة مرتبطة بالصين تُعرف باسم Velvet Ant تمكنت من زرع أبواب خلفية في مكونات PAM وOpenSSH المسؤولة عن إدارة تسجيل الدخول في أنظمة لينكس، وظلت متخفية لما يقارب عقدًا كاملًا. هذا النوع من الاستهداف يختلف عن الهجمات التقليدية، إذ لم يعتمد على إسقاط برمجيات خبيثة جديدة يمكن اكتشافها، بل على تعديل البرامج الموثوقة نفسها لتعمل لصالح المهاجمين.
تقنيات التسلل والبقاء الخفي
منذ عام 2016، استبدل المهاجمون وحدات PAM الأصلية بنسخ معدلة تسمح لهم بالدخول عبر كلمة مرور سرية أو تسجيل بيانات اعتماد المستخدمين أثناء تسجيل الدخول. كما تم تعديل برامج OpenSSH لتسجيل كل الأوامر التي يكتبها المستخدمون، مع وجود خيار مخفي لتعطيل التسجيل عند الحاجة. للوصول إلى الشبكات المعزولة، استخدم المهاجمون خوادم ويب مكشوفة للإنترنت كجسور، تمر عبرها الأوامر إلى الأنظمة الداخلية غير المتصلة مباشرة بالشبكة العالمية.
أمثلة سابقة على تكتيكات Velvet Ant
هذه ليست المرة الأولى التي تعتمد فيها المجموعة على استهداف مكونات البنية التحتية الموثوقة. ففي عام 2024، حولت المجموعة أجهزة F5 BIG-IP إلى خوادم أوامر داخلية، كما استغلت ثغرة في نظام Cisco NX-OS (CVE-2024-20399) لزرع أبواب خلفية في المحولات. هذه الأساليب تعكس استراتيجية طويلة الأمد تقوم على التواجد في طبقات لا تخضع عادةً للمراقبة الدقيقة مثل موازنات الأحمال، المحولات، وبرامج تسجيل الدخول.
دروس عملية Highland للأمن السيبراني
عملية Highland توضح أن المشكلة ليست ثغرة واحدة يمكن ترقيعها، بل تعديل متعمد لبرامج موثوقة بعد اختراق أولي. لذلك فإن الحل لا يكمن في التحديثات الأمنية فقط، بل في التحقق المستمر من سلامة الملفات الأساسية. التوصيات تشمل:
- مراقبة ملفات PAM وOpenSSH والتنبيه عند أي تغيير.
- مقارنة هذه الملفات بنسخ سليمة معروفة بدلًا من الاعتماد على التنبيهات التقليدية.
- إزالة الأبواب الخلفية قبل إعادة تعيين كلمات المرور، وإلا ستُسرق الجديدة بنفس الطريقة.
- اختبار أي استبدال للبرامج في بيئة معملية قبل تطبيقه على الأنظمة الحية.
الرسالة الأوسع: الثقة ليست حصانة
الدرس الأهم أن البنية التحتية التي تُعتبر “موثوقة افتراضيًا” ليست محصنة. من موازنات الأحمال إلى أنظمة تسجيل الدخول، كل طبقة تحتاج إلى فحوصات تكامل دورية. المهاجمون الصبورون مثل Velvet Ant يختبئون في الأماكن التي لا يتوقع المدافعون أن تكون مهددة، وهو ما يجعل التحقق من سلامة هذه المكونات ضرورة لا خيارًا.
