قراصنة صينيون يسيطرون على أنظمة مصادقة شبكة معزولة لعقد كامل

مقدمة تحليلية

كشفت الأبحاث الأمنية الأخيرة التي أجرتها شركة Sygnia عن حملة تجسس إلكتروني مذهلة وغير مسبوقة، أُطلق عليها اسم "Operation Highland"، حيث تمكنت مجموعة الاختراق الصينية "Velvet Ant" من اختراق شبكة بنية تحتية حيوية ومعزولة والحفاظ على سيطرتها عليها لمدة عقد كامل منذ عام 2016. هذا الاختراق العميق لم يقتصر على مجرد الوصول الأولي، بل امتد للتحكم الكامل في أنظمة المصادقة (authentication stack) للمؤسسة المستهدفة، مما منح المهاجمين رؤية شاملة لكل نشاط إداري داخل الشبكة المعزولة. يكشف هذا السيناريو المقلق عن مستوى جديد من الصمود والتعقيد في الهجمات السيبرانية، حيث تمكنت المجموعة من تجاوز الحواجز الأمنية التقليدية، بما في ذلك الشبكات المعزولة "air-gapped environments"، ودمج وجودها في صميم آليات التحقق من الهوية، مما يجعل اكتشافها وإزالتها عملية بالغة الصعوبة وذات تداعيات واسعة.

التحليل التقني

تتبع فريق Sygnia سلسلة هجوم معقدة ومراحل متعددة، بدأت باختراق الخوادم المواجهة للإنترنت، على الرغم من أن الباحثين لم يذكروا المنتج المحدد أو أي ثغرة أمنية مستخدمة في المرحلة الأولية. بعد الاختراق الأولي، قام Velvet Ant بنشر غلاف عكسي معدّل من GS-Netcat، تم تمويهه كمكون نظام شرعي، لإنشاء وصول Shell مشفر عن بُعد. تم تحقيق الاستمرارية إما عبر خدمة systemd خبيثة أو تعديل نصوص بدء التشغيل.

• الوصول الأولي: استغلال خوادم مواجهة للإنترنت.
• الأداة: غلاف GS-Netcat عكسي معدّل، مموه كمكون نظام.
• الاستمرارية: خدمة systemd خبيثة أو تعديل ن scripts بدء التشغيل.

بعد ذلك، قام المهاجمون بتثبيت وكيل SOCKS5 مخصص لأنفاق حركة مرور الشبكة، مما مكنهم من الوصول إلى الأنظمة الداخلية غير المتاحة مباشرة من الإنترنت. عمل الوكيل كـ daemon متنكرًا في هيئة 'smbd -D'، واستخدم أسماء ملفات ومنافذ مختلفة على كل مضيف، محولاً الخوادم المخترقة إلى نقاط محورية داخلية.

الجزء الأكثر إثارة للاهتمام في الهجوم كان بناء مسار تنفيذ عن بعد (remote execution path) داخل الشبكة المعزولة. لتحقيق ذلك، قام Velvet Ant بتعديل تكوين خادم Nginx مخترق ومواجه للإنترنت ليكون وكيلاً للطلبات المصممة خصيصًا إلى خادم خلفي مخترق. تم أيضًا تعديل تكوين Nginx للخادم الخلفي لإعادة توجيه الطلبات إلى عملية FastCGI (fcgiwrap) تستمع على منفذ منفصل. عمل غلاف FastCGI كجسر تنفيذ، حيث عالج الطلبات وأطلق برنامجًا ثنائيًا مخصصًا باسم 'uptime'. أنشأت هذه الأداة اتصالات SSH بالأنظمة داخل شبكة البنية التحتية الحرجة المعزولة باستخدام المعلمات المقدمة في طلبات HTTP POST. تؤكد Sygnia أنه "عبر ربط هذه التعديلات، أسست Velvet Ant مسار تنفيذ عن بعد في البيئة المعزولة عبر طلبات HTTP بسيطة، دون الحاجة إلى اتصال مباشر بشبكة البنية التحتية الحرجة على الإطلاق."

بعد إنشاء الوصول إلى البيئة المعزولة، حولت Velvet Ant تركيزها إلى الاستمرارية طويلة الأمد وسرقة بيانات الاعتماد باستهداف وحدات Linux Pluggable Authentication Modules (PAM)، وهي مجموعة مكتبات تسمح للمسؤولين بإعداد طرق مصادقة المستخدمين. قام المهاجمون باستبدال وحدات 'pam_unix.so' الشرعية بإصدارات تحتوي على أبواب خلفية (backdoored versions) تقبل كلمات مرور ثابتة (hardcoded passwords) وتجمع بيانات اعتماد المستخدمين. حددت Sygnia تسعة متغيرات مميزة للوحدة الخبيثة، كل منها تم تجميعها في بيئة بناء منفصلة، مما يشير إلى وجود جهة تهديد ذات موارد جيدة. كما قام قراصنة Velvet Ant باستبدال مكونات OpenSSH مثل ssh و sshd و scp بإصدارات مزروعة ببرامج طروادة (trojanized versions) لالتقاط بيانات الاعتماد وتسجيل الأوامر المدخلة أثناء جلسات SSH، وتخزين البيانات المجمعة محليًا للاسترجاع المستقبلي. وصفت Sygnia كيف أن المهاجمين، من خلال توسيع السيطرة على عملية المصادقة، تمكنوا من الوصول إلى بيانات الاعتماد فور استخدامها وتجاوز تدفق المصادقة نفسه.

السياق وتأثير السوق

لا تُعد حملة "Operation Highland" سابقة فريدة لمجموعة Velvet Ant. ففي عام 2024، وثقت Sygnia تحذيرًا بشأن حملة سابقة استهدفت أجهزة F5 BIG-IP، والتي عملت دون اكتشاف لمدة ثلاث سنوات. وفي العام نفسه، حذرت Cisco من ثغرة Zero-day في نظام NX-OS الذي يعمل على محولات Nexus، واستغلتها Velvet Ant للوصول إلى أهدافها. هذا التاريخ الحافل يشير إلى أن المجموعة تتمتع بخبرة واسعة في استغلال الثغرات المعقدة والحفاظ على التواجد الخفي. تأثير السوق لمثل هذه الهجمات كارثي، خاصةً على البنية التحتية الحيوية. إن القدرة على اختراق شبكات معزولة والتحكم في جوهر أنظمة المصادقة يقلل من الثقة في تدابير الأمن التقليدية ويثير تساؤلات جدية حول فعالية الاستثمارات الحالية في الأمن السيبراني. معضلة التنظيف (remediation) نفسها تمثل تحديًا هائلاً؛ فقد ذكرت Sygnia أن إزالة Velvet Ant كانت معقدة للغاية، حيث أن استبدال المكونات الحيوية بإصدارات مخصصة يعني أن إزالتها قد يؤدي إلى تعطيل المصادقة وحبس المسؤولين الشرعيين، مما يسبب انقطاعات تشغيلية واسعة النطاق. هذا السيناريو يُظهر أن التأثير لا يقتصر على فقدان البيانات أو المراقبة، بل يمتد إلى شل العمليات الأساسية أثناء محاولات الإصلاح، مما يفرض ضغوطًا غير مسبوقة على فرق الأمن.

رؤية Glitch4Techs

تُقدم "Operation Highland" درساً قاسياً للمؤسسات حول هشاشة افتراضات الأمان التقليدية. إن الرؤية الكاملة للنشاط الإداري التي اكتسبها المهاجمون، حيث "أصبح كل تسجيل دخول، وكل أمر يتم تنفيذه عبر المضيفات المخترقة، قابلاً للمراقبة بالكامل"، يعني أن الوصول لم يعد مرتبطًا بنقطة دخول محددة بل أصبح جزءًا لا يتجزأ من عملية المصادقة نفسها. هذا يقلل بشكل كبير من فعالية إجراءات الاحتواء التقليدية مثل تغيير كلمات المرور أو إنهاء الجلسات. من منظور Glitch4Techs، يتطلب هذا التطور استراتيجية دفاعية أكثر شمولية تتجاوز الحماية المحيطية. يجب على المدافعين التعامل مع مكونات المصادقة الحيوية مثل PAM و OpenSSH في أنظمة Linux، ومكافئاتها مثل Windows LSASS، كأصول أمنية بالغة الأهمية. توصي Sygnia، وهو ما نؤكده بشدة، بحمايتها باستخدام حلول EDR (Endpoint Detection and Response)، ومراقبة سلامة الملفات (File Integrity Monitoring - FIM)، وتطبيق مبادئ الوصول المتميز المقوى (hardened privileged access)، والمصادقة متعددة العوامل (MFA)، والمراقبة المستمرة لأي تعديلات غير مصرح بها. علاوة على ذلك، أصبحت خطط الاستعادة في وضع عدم الاتصال (offline recovery) ضرورة قصوى، ويجب أن تتضمن نسخًا احتياطية صارمة ذات جداول زمنية كافية لإنشاء لقطات تلقائية بنسخ غير قابلة للتغيير (immutable copies). يجب أن تأخذ عملية الاستعادة في الاعتبار اختبار النسخ الاحتياطية وأنظمة التشغيل الموثوقة على مضيفات الاستعادة، إلى جانب نصوص الاسترداد. تبرز هذه القضية الحاجة الملحة للمحاكاة الدورية للهجمات (Breach and Attack Simulation) لتقييم مدى فعالية أنظمة SIEM و EDR في اكتشاف مثل هذه التهديدات المعقدة والمتخفية، قبل أن يختبر المهاجمون هذه الثغرات بأنفسهم.