تخطى إلى المحتوى الرئيسي
شارك

الصين تخترق شبكات أمريكية ببرمجيات خبيثة صامتة طيلة 18 شهراً

فريق جلتشمنذ ساعة0 مشاهدة4 دقائق
شارك
الصين تخترق شبكات أمريكية ببرمجيات خبيثة صامتة طيلة 18 شهراً

تسلل فريق تجسس صيني لشبكات أمريكية لـ 18 شهراً ببرمجيات Plenet وBrickstorm الخبيثة. نجح الاختراق في تجاوز جدران الحماية عبر استهداف مزودي الخدمات المدارة MSPs.

مقدمة تحليلية

في واحدة من أكثر عمليات التجسس السيبراني تعقيداً وجرأة في السنوات الأخيرة، نجحت مجموعة التسلل الصينية المعروفة باسم UNC5221 (أو VerdantBamboo) في البقاء داخل بيئات الحوسبة السحابية وشبكات المؤسسات الحيوية في الولايات المتحدة لأكثر من 18 شهراً دون كشفها. لم يقتصر الاختراق على الوصول الأولي، بل امتد ليشمل البنية التحتية لمزودي الخدمات المدارة (MSPs)، مما سمح للمهاجمين بإعادة اختراق الضحايا حتى بعد تطبيق إجراءات المعالجة الأمنية الكاملة. يوضح هذا التسلل المستمر تحولاً استراتيجياً في تكتيكات المجموعات المدعومة من الدول؛ حيث لم تعد تكتفي بضرب الهدف المباشر، بل تستهدف نقاط الضعف العميقة في سلاسل التوريد الرقمية والأجهزة الطرفية التي تغيب عنها أنظمة المراقبة التقليدية. تكمن خطورة هذه العملية في قدرة المهاجمين على التخفي والاندماج مع حركة المرور المشروعة للشبكة. ومن خلال استغلال الأجهزة الطرفية مثل جدران الحماية pfSense وأجهزة تخزين الشبكة Synology NAS، نجح المخترقون في بناء معاقل حصينة يصعب على حلول الكشف والاستجابة للمنافذ الطرفية (EDR) مراقبتها أو مسحها. إن نجاح VerdantBamboo في العودة مجدداً بعد طردهم يرسل رسالة واضحة لقطاع الأمن السيبراني: البروتوكولات التقليدية للاستجابة للحوادث لم تعد كافية لمواجهة التهديدات المتقدمة المستمرة (APTs).

التحليل التقني

تعتمد البنية البرمجية للحملة على ترسانة متعددة الطبقات من البرمجيات الخبيثة المخصصة، في مقدمتها برمجية الخلفية Brickstorm، إلى جانب برمجيات تم الكشف عنها مؤخراً مثل Plenet وAgentPSD. تم تصميم هذه الأدوات للعمل بشكل متكامل لضمان استمرار الوصول وتجاوز آليات الدفاع المعقدة:
  • Brickstorm: برمجية خلفية متطورة تم كتابتها بلغة Golang في البداية، ثم تمت إعادة كتابتها بالكامل بلغة Rust لتعزيز التخفي والسرية وتجاوز التواقيع الأمنية التقليدية.
  • Plenet (Grimbolt): برمجية خلفية عابرة للمنصات مبنية على .NET وتعتمد على بروتوكول WebSocket لتوفير تحكم كامل، وتستخدم تقنيات تقسيم البيانات (Multiplexing) لتمرير اتصالات متعددة ومتزامنة عبر منفذ واحد.
  • AgentPSD: أداة بسيطة مكتوبة بلغة Python تعمل كقشرة عكسية (Reverse Shell)، وتستخدم كآلية persistence احتياطية لضمان العودة للشبكة في حال كشف البرمجيات الرئيسية.
للتسلل إلى بيئات Microsoft 365 دون إثارة الإنذارات، اعتمد المهاجمون على ميزات الوكيل (Proxying) المدمجة في Brickstorm مع استخدام بيانات اعتماد مسروقة. هذا التكتيك مكنهم من توجيه حركة المرور الخبيثة عبر قنوات تبدو كأنها اتصالات داخلية مشروعة من داخل نظام Egnyte Storage Sync، مما أدى إلى تحييد سياسات الوصول المشروط (Conditional Access Policies) الخاصة بـ Entra ID. وعندما قامت فرق الاستجابة للحوادث بقطع الوصول الخارجي وإعادة تعيين الهويات، تبيّن أن المهاجمين كانوا قد زرعوا بالفعل برمجية Brickstorm مخصصة لبيئات BSD على جدار حماية pfSense الخاص بمزود الخدمات المدارة (MSP) الشريك للمؤسسة الضحية. ومن خلال هذا المعقل الخارجي الصامت، نجح المهاجمون في إعادة تفعيل اتصالات SSL VPN على جدار حماية الضحية والعودة إلى الشبكة الداخلية في غضون أيام قليلة من انتهاء عملية التطهير الأولى.

السياق وتأثير السوق

تعد مجموعة UNC5221 واحدة من أكثر المجموعات نشاطاً في استغلال ثغرات يوم الصفر (Zero-Day) في الأجهزة الطرفية وحلول الشبكات الافتراضية الخاصة (VPN) منذ عام 2023. وقد ارتبط اسمها سابقاً بهجمات واسعة النطاق استهدفت أجهزة Dell RecoverPoint وأنظمة VMware vSphere. تضع هذه العملية المجموعة في نفس مستوى التهديد الذي تشكله مجموعات صينية أخرى شهيرة مثل Volt Typhoon، والتي تركز على التسلل الصامت طويل الأمد إلى البنى التحتية الحيوية. إن استهداف الأجهزة التي لا تدعم برمجيات كشف التهديدات والاستجابة لها (EDR)، مثل أجهزة التخزين الشبكي (NAS)، وجدران الحماية، والأنظمة القديمة مثل Linux GroupWise، يمثل تغيراً جوهرياً في سوق الحلول الأمنية. تدرك المجموعات المدعومة من الدول أن الدفاعات السيبرانية للمؤسسات تركز بشكل شبه كامل على بيئات التشغيل القياسية (Windows وmacOS)، مما يترك الأجهزة المتصلة بالشبكة (Network Appliances) كأهداف رخوة يسهل استغلالها كمنصات انطلاق صامتة للتحرك الجانبي (Lateral Movement) داخل الشبكات. أظهرت التحقيقات أيضاً مدى ترابط البنية التحتية للمهاجمين؛ فعندما نشرت شركة Google تقريراً تقنياً يكشف تفاصيل خوادم القيادة والسيطرة الخاصة بـ Brickstorm في سبتمبر 2025، قام المهاجمون على الفور بإغلاق كافة الخدمات النشطة على منفذ 443 عبر خوادمهم بين يومي 18 و23 سبتمبر. هذا المستوى من الانتباه السريع والتحكم المركزي يؤكد أننا أمام عدو منظم يراقب الساحة الاستخباراتية للأمن السيبراني بشكل لحظي لتعديل تكتيكاته وحماية بنيته التحتية من الكشف.

رؤية Glitch4Techs

إن الاختراق المزدوج الذي تعرضت له الضحية يثبت بشكل قاطع أن منهجية الاستجابة للحوادث التقليدية تعاني من فجوة مدمرة. عندما تقوم المؤسسات بمعالجة الاختراق داخل حدود شبكتها الخاصة وتتجاهل فحص شركائها التقنيين ومزودي الخدمات المدارة (MSPs)، فإنها تترك الباب موارباً أمام المهاجمين للعودة الفورية. لم يعد كافياً عزل الشبكة المحلية؛ بل يجب تمديد عمليات التدقيق الأمني الجنائي لتشمل كافة خطوط الاتصال الموثوقة مع الأطراف الخارجية. تتوقع منصة Glitch4Techs أن تشهد الفترة المقبلة تصاعداً كبيراً في استهداف أجهزة الشبكات والأنظمة المغلقة (Firmware-based systems) التي تفتقر إلى إمكانية تثبيت وكلاء أمنيين (EDR Agents). سيجبر هذا التحول الشركات المصنعة لهذه الأجهزة (مثل Synology وpfSense وغيرها) على إعادة التفكير في البنية الأمنية لأنظمتها وتوفير واجهات برمجية تتيح لفرق الدفاع فحص الملفات والعمليات الجارية بعمق. إن استمرار تجاهل أمن سلاسل التوريد الرقمية يعني أن استثمارات ملايين الدولارات في حماية بيئات الحوسبة السحابية مثل Microsoft 365 يمكن إبطال مفعولها ببساطة عبر ثغرة في جدار حماية قديم أو جهاز تخزين منسي في زاوية الشبكة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.