كشفت شركة ReliaQuest عن حملة تجسّس رقمي منسوبة إلى مجموعة تُعرف باسم Flax Typhoon (المُتابَعة أيضًا بأسماء Ethereal Panda وRedJuliett)، استغلت خادماً عاماً لتطبيق الخرائط ArcGIS وحوّلته إلى بوابة خلفية تعمل سرًّا لأكثر من عام. اعتمد المهاجمون على تعديل امتداد Java Server Object (SOE) الخاص بالتطبيق ليتحول إلى شل ويب مضمّن، واستغلّوا مفتاحًا ثابتًا مضمّنًا لمنع العبث به، بل ووضعوا النسخة الخبيثة ضمن نسخ احتياطية تضمن بقاءها حتى بعد استعادة النظام.
سلسلة الهجوم وأساليب التسلل والبقاء
بدأ الهجوم باختراق حساب مسؤول بوابة ArcGIS العامة، مما مكّن الفاعلين من نشر SOE مُعدّل عبر امتداد JavaSimpleRESTSOE القياسي، الذي استُدعِي عبر عملية REST لتنفيذ أوامر على الخادم الداخلي من خلال البوابة العامة — تكتيك يصعّب كشفه لأنه يعمل ضمن وظائف النظام المتوقعة. أضاف المهاجمون مفتاح تحكم ثابت (hard-coded key) لقطع إمكانية منعهم أو تعديل الشل حتى من قبل مدراء النظام الفضوليين.
لتحقيق ثبات طويل الأمد، دمجوا الشل داخل النسخ الاحتياطية للنظام، ما جعل استعادة النظام غير كافية لإزالة الحضور الخبيث. كما حمّل المهاجمون ملفًا تنفيذيًا لإصدار معدّل من SoftEther VPN باسم “bridge.exe” داخل مجلد System32 وأنشأوا خدمة باسم “SysBridge” لتشغيله تلقائيًا عند كل إقلاع، فكوّنوا جسراً (VPN bridge) ينقل شبكة الضحية إلى بيئة المهاجم ويجعل الترافيك يبدو داخليًا، ما أتاح لهم تجاوز مراقبة الشبكة والتنقل الجانبي.
أساليب العيش على الأدوات المشروعة (LotL) وتكتيكات الاستطلاع
تميّزت هجمات Flax Typhoon باستخدام أسلوب العيش على الأدوات (Living-off-the-Land) والعمل اليدوي المباشر، حيث يُعاد توظيف مكونات النظام الموثوقة كأدوات هجوم لتفادي الإنذارات. استُخدم الشل لتنفيذ عمليات كشف الشبكة، وتحميل برمجيات للكسب المستمر للامتيازات، واستهداف محطات عمل موظفي التكنولوجيا لسرقة بيانات الاعتماد. كما تمكّن المهاجمون من الوصول لحساب إداري وإعادة تعيين كلمة المرور، ما سهّل توغّلهم داخل بيئة الضحية.
تداعيات الحملة ودروس استجابة الأمان
تُشير الحملة إلى خطرين متلازمين: الأول هو قدرة المهاجم على تحويل وظائف منظومة موثوقة إلى ناقل هجومي ينسجم مع حركة السير العادية، والثاني هو أن أمن الحسابات الإدارية وممارسات النسخ الاحتياطية يمكن أن تكون ثغرة عملية أكبر من ثغرات البرمجيات نفسها. هذه الحادثة تُبرز أهمية فحص امتدادات الخوادم والتدقيق في محتوى النسخ الاحتياطية، ومراقبة الخدمات المشغلة من System32، والتدقيق في نشاطات REST التي تنفذ أوامر على الخوادم الداخلية. كما تُذكّر بضرورة تطبيق مبدأ أقل الامتيازات والتحقق متعدد العوامل لحسابات المشرفين، ومراجعة قواعد الوصول والنسخ الاحتياطية لضمان عدم تضمين مكونات قابلة للاستبدال من قِبل طرف خبيث.
