تخطى إلى المحتوى الرئيسي
شارك

قراصنة الصين يخترقون أنظمة تسجيل دخول Linux لعشر سنوات دون كشفهم

فريق جلتش14 يونيو0 مشاهدة5 دقائق
شارك
قراصنة الصين يخترقون أنظمة تسجيل دخول Linux لعشر سنوات دون كشفهم

نجح قراصنة Velvet Ant الصينيون في التخفي لعقد كامل داخل أنظمة Linux عبر تعديل برمجيات PAM و OpenSSH. يفرض هذا التهديد التحقق من سلامة الملفات الحيوية فوراً.

مقدمة تحليلية

يمثل التسلل والقدرة على الاختباء في الشبكات الحساسة أسمى أهداف مجموعات التهديد المتقدم المستمر APT. وفي واحدة من أكثر العمليات الأمنية تعقيداً وجرأة في السنوات الأخيرة، كشف باحثون أمنيون من شركة Sygnia عن حملة تجسس سيبراني واسعة النطاق استمرت لما يقرب من عقد كامل دون أن تكتشفها أكثر أدوات الدفاع تطوراً. الحملة التي تُعرف باسم Operation Highland، تقف خلفها مجموعة تهديد صينية تُعرف باسم Velvet Ant، وهي المجموعة التي أظهرت مستوى غير مسبوق من الصبر والمهارة التقنية في استهداف الشبكات المعزولة وشديدة التحصين منذ عام 2016.

بدلاً من الاعتماد على تكتيكات إسقاط البرمجيات الخبيثة التقليدية التي قد تثير الشكوك وتطلق صفارات الإنذار في غرف العمليات الأمنية SOC، اختار المهاجمون التخفي في المكان الأكثر حساسية ووثوقية داخل البيئات العاملة بنظام Linux: نظام تسجيل الدخول نفسه. من خلال تعديل المكونات الأساسية لنظام التشغيل التي تحدد من يحق له الدخول وكيفية التحقق من هويته، تمكنت Velvet Ant من تأمين موطئ قدم دائم يستعصي على إجراءات التطهير والاحتواء العادية، مما جعل نشاطهم التجسسي يبدو للمراقبين وكأنه مجرد عمليات إدارة نظام اعتيادية لا تثير أي ريبة.

تكمن خطورة هذه الحملة في حقيقة أن الشبكات المستهدفة لم تكن تمتلك أي اتصال مباشر بشبكة الإنترنت، مما فرض على المهاجمين تصميم استراتيجية تسلل متعددة المراحل اعتمدت على استخدام خوادم الويب المواجهة للإنترنت كجسر لنقل الأوامر والبيانات من وإلى البيئة المعزولة. هذه الهندسة المعقدة للتحكم والسيطرة مكنت المجموعة من تنفيذ عملياتها لسنوات طويلة، مستغلة حقيقة أن المدافعين يركزون جهودهم عادة على مراقبة نقاط النهاية وخوادم الويب، مع إغفال سلامة الملفات الثنائية الحيوية داخل الأنظمة الداخلية.

التحليل التقني

تتمحور هندسة التسلل في Operation Highland حول التعديل المباشر والتلاعب بالبرمجيات المسؤولة عن المصادقة والاتصال البعيد في نظام Linux، وتحديداً وحدات المصادقة القابلة للتوصيل PAM وبرنامج الوصول البعيد الأمن OpenSSH. هذا التعديل أزال الحاجة تماماً لاستخدام ثغرات برمجية جديدة أو استغلال أخطاء في الذاكرة بعد تحقيق الوصول الأولي، حيث تحول النظام المصاب نفسه إلى أداة لخدمة المخترقين.

رصد الباحثون السلوكيات التقنية التالية التي وظفها المهاجمون لضمان البقاء وسرقة البيانات:

  • استبدال وحدات PAM الثنائية: استبدال ملفات المكتبات المشتركة بنسخ معدلة تم تجميعها خصيصاً لتنفيذ مهام خبيثة مع الحفاظ على سمات الملف الأصلي تجنباً للاكتشاف.
  • زرع الأبواب الخلفية بكلمات مرور رئيسية: تعديل بعض نسخ PAM لتسمح بمرور أي عملية تسجيل دخول والوصول إلى صلاحيات الجذر Root عند إدخال كلمة مرور سرية مبرمجة مسبقاً داخل الكود الثنائي للمكتبة.
  • تسجيل بيانات الاعتماد النشطة: تم تصميم نسخ أخرى من وحدات PAM للعمل كأدوات لتسجيل المفاتيح Keyloggers على مستوى النظام، حيث تقوم بحفظ أسماء المستخدمين وكلمات المرور الصالحة في ملفات مخفية ومشفرة.
  • تعدد الإصدارات المخصصة: اكتشف المحللون ما لا يقل عن تسعة إصدارات مختلفة من وحدات PAM المعدلة، مما يشير إلى عملية تطوير وتعديل مستمرة جرت على مدار العقد الماضي لتناسب التحديثات المختلفة لبيئات Linux المستهدفة.

بالتوازي مع اختراق PAM، طالت التعديلات الخبيثة برمجيات OpenSSH المعنية بتأمين الاتصالات البعيدة للأنظمة. لم يقتصر دور النسخ المعدلة من OpenSSH على تسجيل كلمات المرور وحسب، بل امتد ليسجل كل أمر يكتبه مديرو النظام في الجلسات التفاعلية. ولتفادي الكشف أثناء التحقيقات الجنائية الرقمية، وضع المهاجمون مفتاح تشغيل مخفياً Stealth Toggle يتيح لهم إيقاف ميزة تسجيل الأوامر والبيانات عن بعد عند حاجتهم لتنفيذ عمليات صيانة أو تعديل حساسة، ثم إعادة تفعيلها لاحقاً لضمان استمرار تدفق البيانات المسروقة.

السياق وتأثير السوق

لا يمكن قراءة تفاصيل Operation Highland بمعزل عن السجل التاريخي الحافل لمجموعة Velvet Ant. فالكيان الذي يربطه خبراء الاستخبارات السيبرانية بدولة الصين يمتلك نمطاً سلوكياً واضحاً يعتمد على تجنب الأجهزة والبرمجيات التقليدية التي تخضع لمراقبة مكثفة من قبل حلول الكشف والاستجابة لنقاط النهاية EDR، والتركيز بدلاً من ذلك على أجهزة البنية التحتية والشبكات التي تقع في المناطق العمياء للمدافعين.

في عام 2024، كشفت التقارير الأمنية عن نشاط مكثف للمجموعة تمثل في تحويل أجهزة F5 BIG-IP المخصصة لتوزيع الأحمال والمواجهة للإنترنت إلى خوادم داخلية للتحكم والسيطرة C2 لتوجيه الأوامر داخل الشبكات الضحية. وفي وقت لاحق من نفس العام، استغلت المجموعة الثغرة الأمنية CVE-2024-20399 في نظام التشغيل Cisco NX-OS لزرع أبواب خلفية متطورة على مفاتيح الشبكة Switches. وتجدر الإشارة إلى أن هذه الثغرة تتطلب الحصول على صلاحيات مسؤول النظام أولاً، مما يعني أنها استخدمت كأداة لترسيخ البقاء والانتشار الجانبي وليس كمتجه للاختراق الأولي.

توضح هذه السلسلة من الهجمات تحولاً استراتيجياً كبيراً في مشهد التهديدات السيبرانية؛ حيث تدرك مجموعات التجسس المدعومة من الدول أن الدفاعات السيبرانية للمؤسسات الكبرى أصبحت تركز بشكل شبه كامل على خوادم التطبيقات وحواسب الموظفين. ونتيجة لذلك، أصبحت أجهزة الشبكات، وموزعات الأحمال، والبرمجيات الخدمية العميقة مثل أنظمة المصادقة هي الملاذ الآمن الجديد للمهاجمين، حيث توفر هذه الأصول وصولاً غير مقيد إلى البيانات دون الحاجة لتحديث البرمجيات الخبيثة باستمرار.

رؤية Glitch4Techs

من منظور هندسة الأمن السيبراني، تمثل حملة Operation Highland كابوساً حقيقياً لفرق الاستجابة للحوادث Incident Response. إن التعامل مع هجوم يكمن في قلب برمجيات المصادقة يجرّد المدافعين من أسلحتهم التقليدية؛ فإجراءات العزل المعتادة مثل فرض تغيير كلمات المرور لكافة الحسابات أو إنهاء الجلسات النشطة لا تؤدي في هذه الحالة إلا إلى تفاقم الأزمة. فعندما يكون البرنامج المسؤول عن التحقق من الهوية وتحديث البيانات مخترقاً في الأصل، فإن أي كلمة مرور جديدة يتم تعيينها ستقع مباشرة وفوراً في أيدي المهاجمين عبر آليات التسجيل المزروعة.

تؤكد رؤيتنا في Glitch4Techs أن الاعتماد الأعمى على الحلول الأمنية القائمة على التوقيعات أو رصد السلوكيات الشاذة لم يعد كافياً لحماية الأصول الاستراتيجية. إن مواجهة مجموعات مثل Velvet Ant تتطلب الانتقال الفوري إلى نموذج التحقق الصفري من سلامة النظام Zero System Integrity Trust. يجب على فرق هندسة الأمن دمج أدوات مراقبة سلامة الملفات FIM كجزء لا يتجزأ من بيئات التشغيل، مع إجراء عمليات تدقيق ومقارنة دورية للملفات الثنائية الحيوية مثل PAM و OpenSSH مع نسخها الأصلية الموثوقة والموقعة رقمياً من المطورين.

علاوة على ذلك، يجب أن يدرك مهندسو الأنظمة أن عملية التطهير من هذه الأبواب الخلفية تتطلب دقة متناهية؛ فاستبدال ملفات PAM الخاطئة أو استعادتها بشكل غير صحيح في بيئة تشغيل نشطة قد يؤدي إلى إغلاق النظام بالكامل ومنع المسؤولين الشرعيين من الوصول إلى الخوادم، مما يتسبب في توقف تام للخدمات. لذلك، فإن بناء بيئات اختبارية معزولة لمحاكاة عمليات العلاج واختبار البرمجيات البديلة قبل تطبيقها على الخوادم الحية هو السبيل الوحيد لضمان استرداد السيطرة بأمان وبدون خسائر تشغيلية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.