تخطى إلى المحتوى الرئيسي
شارك

برمجيات Showboat الخبيثة تستهدف شركات الاتصالات في الشرق الأوسط

فريق جلتشالآن0 مشاهدة5 دقائق
شارك
برمجيات Showboat الخبيثة تستهدف شركات الاتصالات في الشرق الأوسط

"حملة تجسس سيبراني صينية واسعة تستهدف قطاع الاتصالات ببرمجيات Showboat وJFMBackdoor الخبيثة لتأسيس منافذ خلفية دائمة للتجسس وسرقة البيانات."

مقدمة تحليلية

في منتصف عام 2022، بدأت ملامح حملة تجسس سيبراني شديدة التعقيد تتكشف في أروقة مراكز تحليل التهديدات العالمية. استهدفت هذه الحملة الممنهجة البنية التحتية لشركات الاتصالات السلكية واللاسلكية في منطقة آسيا والمحيط الهادئ وأجزاء حيوية من الشرق الأوسط. تشير البيانات الصادرة عن مختبرات Black Lotus Labs التابعة لشركة Lumen ومحللي التهديدات في PwC إلى أن الفاعل الأمني الذي يقف وراء هذه العمليات هو مجموعة التهديد المتقدمة Calypso، والتي تُعرف أيضاً في أوساط الدفاع السيبراني باسم Red Lamassu.

لا يمثل هذا الاستهداف مجرد محاولة عابرة لسرقة البيانات، بل هو مسعى استراتيجي لبناء موطئ قدم دائم داخل شبكات الاتصالات الإقليمية. من خلال انتحال هوية المؤسسات المستهدفة عبر نطاقات وهمية مصممة خصيصاً، نجح المهاجمون في نشر ترسانة برمجية جديدة ومزدوجة الهدف، حيث صُممت برمجية Showboat لتهديد الأنظمة العاملة ببيئة Linux، بينما تكفلت برمجية JFMBackdoor باختراق وتخريب بيئات Windows النشطة داخل تلك المؤسسات.

إن خطورة هذه الحملة تكمن في قدرة المهاجمين على الحفاظ على السرية التامة لعدة سنوات، مستغلين الفجوات الأمنية في مراقبة حركة المرور الداخلي والتحركات الجانبية داخل الشبكات. تستعرض هذه القراءة التقنية العميقة تشريح التهديد الثنائي وهيكل التشغيل الذي اتبعته المجموعة المصنفة ضمن الفاعلين المدعومين من دول بعينها.

التحليل التقني

تعتمد المجموعة المهاجمة على آليتين منفصلتين تماماً من حيث البناء البرمجي وطرق التنفيذ، لكنهما تتكاملان في توفير قنوات تحكم خلفية متكاملة للمهاجمين.

أولاً: برمجية Showboat الموجهة لأنظمة Linux

تُعرف هذه البرمجية المزروعة باسم Showboat أو kworker، وهي عبارة عن إطار عمل نمطي مخصص لمرحلة ما بعد الاختراق (Post-Exploitation)، ومصممة خصيصاً لضمان البقاء طويل الأمد على الأنظمة المخترقة. تتلخص آليات عملها في النقاط التالية:

  • جمع معلومات المضيف: بمجرد تفعيل البرمجية، تبدأ بمسح شامل لخصائص النظام وإرسال البيانات التفصيلية إلى خادم التحكم والسيطرة C2.
  • آلية التخفي الميت (Dead Drop): تستخدم البرمجية ميزة فريدة تُعرف بأمر "hide"، حيث تقوم بإخفاء عملياتها النشطة عبر جلب أكواد مشفرة مخزنة في مواقع عامة موثوقة مثل Pastebin أو المنتديات الخدمية المفتوحة لاستخدامها كنقاط اتصال غير مباشرة للتنسيق والتحكم دون إثارة الشكوك.
  • توجيه المنافذ والوكالة: الميزة الأكثر خطورة في Showboat هي قدرتها على العمل كخادم وكيل من نوع SOCKS5 ونقطة تحويل وتوجيه للمنافذ (Port-forwarding pivot point). تتيح هذه الوظيفة للمهاجمين تجاوز جدران الحماية الداخلية والتحرك أفقياً لاستكشاف الأنظمة الحيوية الأخرى المرتبطة بنفس الشبكة.

ثانياً: برمجية JFMBackdoor الموجهة لأنظمة Windows

في البيئات المعتمدة على أنظمة تشغيل Windows، تتبع مجموعة Red Lamassu سلسلة إصابة تبدأ بتنفيذ برمجية نصية دفعية (Batch Script). تقوم هذه البرمجية بإسقاط حمولات محددة لتنفيذ عملية تحميل جانبي لمكتبات الربط الديناميكي (DLL Sideloading) مستغلة الملفين fltMC.exe و FLTLIB.dll، مما يؤدي في النهاية إلى تشغيل الحمولة النهائية JFMBackdoor.

تمتلك JFMBackdoor قدرات تجسسية متكاملة تشمل:

  • وصول عكسي للقشرة (Reverse Shell): تنفيذ الأوامر عن بُعد بصلاحيات كاملة على الجهاز المصاب.
  • إدارة الملفات الشاملة: القدرة على رفع، تنزيل، تعديل، نقل، وحذف الملفات الحساسة من خوادم الضحية.
  • الوكالة عبر بروتوكول TCP: استخدام النظام المصاب كمرحل شبكي للوصول إلى الأنظمة الداخلية العميقة غير المتصلة بالإنترنت مباشرة.
  • إدارة العمليات والخدمات: تشغيل، إيقاف، وإنشاء العمليات والخدمات الخاصة بالنظام، مع التلاعب بسجلات الريجستري (Registry Manipulation).
  • سرقة البيانات المرئية: التقاط صور لشاشات المستخدمين وتشفيرها قبل إرسالها إلى خوادم المهاجمين لضمان عدم كشفها بواسطة أنظمة مراقبة البيانات الخارجية (DLP).
  • ميزات مكافحة التحقيق الجنائي الرقمي: آليات حذف ذاتي (Self-removal) لإزالة كافة الأدلة والآثار الرقمية التي قد تفيد فرق الاستجابة للحوادث السيبرانية.

السياق وتأثير السوق

يكشف تحليل البنية التحتية لهذه الحملة عن تبني المهاجمين لنموذج تشغيلي شبه لامركزي. في هذا النموذج، تتشارك مجموعات وخلايا هجومية متعددة نفس أنماط إنشاء شهادات الأمان والميزات البرمجية، لكنها تستهدف ضحايا متباعدين جغرافياً وبأهداف متباينة. تشير الأدلة التحليلية إلى أن هذه الأدوات البرمجية يجري مشاركتها وتوزيعها بين مجموعات تهديد متعددة متحالفة وتعمل تحت مظلة جغرافية واحدة ومصالح مشتركة.

بالنسبة لقطاع الاتصالات، فإن هذا النوع من الهجمات يتجاوز التهديدات التقليدية مثل برمجيات الفدية. إن زرع برمجيات خبيثة تعمل بصمت كأدوات وكيلة (Socks5 Proxies) يحول البنية التحتية لشركات الاتصالات إلى منصات انطلاق لشن هجمات أخرى ضد جهات حكومية أو شركات أمنية أو مؤسسات مالية، مما يضع سمعة وموثوقية مزودي الخدمة على المحك ويقوض الأمن القومي الرقمي للدول المستهدفة.

رؤية Glitch4Techs

في منصة Glitch4Techs، نرى أن هذه الحملة تسلط الضوء على ثغرة حرجة في استراتيجيات الدفاع السيبراني الحديثة، وهي "فجوة التحقق الأمني". تعتمد معظم المؤسسات اليوم على أدوات اختبار الاختراق التلقائي، وهي أدوات مصممة للإجابة عن سؤال واحد فقط: "هل يستطيع المهاجم التحرك داخل الشبكة؟". لكنها تفشل تماماً في الإجابة عن الأسئلة الأكثر أهمية مثل: "هل ستكتشف جدران الحماية وقواعد البيانات لدينا حركة المرور المتخفية عبر بروتوكول SOCKS5؟" أو "هل ستلتقط أنظمة الدفاع عمليات التحميل الجانبي للـ DLL المستندة إلى ملفات نظام شرعية؟".

إن قدرة برمجية Showboat على استخدام مواقع عامة مثل Pastebin كـ "صندوق بريد ميت" لتلقي الأوامر تبرهن على أن تصفية حركة المرور الصادرة (Egress Filtering) يجب ألا تقتصر على حظر النطاقات الخبيثة المعروفة، بل يجب أن تمتد لتشمل المراقبة الصارمة والسلوكية لكافة الاتصالات المتجهة إلى منصات مشاركة الأكواد والمنتديات من داخل خوادم الإنتاج الحساسة للاتصالات. نوصي بتطبيق نموذج صفر ثقة (Zero Trust) حقيقي، حيث يُعامل كل خادم داخل الشبكة المحلية كأنه متصل مباشرة بالإنترنت العام، مع عزل تام لعمليات الإدارة والصيانة عن حركة مرور البيانات الأساسية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.