OP-512: حملة تجسس صينية تخترق خوادم IIS بإطار برمجيات مخصص
اكتشف باحثون أمنيون مجموعة التجسس الصينية OP-512 التي تستهدف خوادم Microsoft IIS بإطار عمل خبيث ومبتكر. تعتمد المجموعة على تقنيات تزييف طوابع الزمن لتجنب الكشف الفوري وتسهيل اختراق البنية التحتية الحساسة.
مقدمة تحليلية
كشفت شركة ReliaQuest المتخصصة في الأمن السيبراني عن رصد نشاط هجومي متطور وممنهج تقوده مجموعة تجسس جديدة مرتبطة بالصين تم تعريفها باسم OP-512 (حيث يرمز الاختصار OP إلى الخصم أو Opponent). تستهدف هذه المجموعة خوادم Microsoft Internet Information Services (IIS) مستخدمةً إطار عمل مخصصاً ومعقداً للغاية لزرع البرمجيات الخبيثة المعروفة بـ Web Shells. ويمثل هذا التهديد تطوراً مقلقاً في استراتيجيات الهجوم السيبراني، حيث يعتمد على أدوات غير تقليدية تم تصميمها خصيصاً لتجاوز أنظمة الكشف التقليدية القائمة على التوقيعات الرقمية.
تُشير التقييمات الأمنية بدرجة ثقة تتراوح بين المتوسطة والمرتفعة إلى أن هذه المجموعة تعمل بدافع التجسس الجيوسياسي لخدمة أولويات استخباراتية صينية، مستهدفةً قطاعات وجغرافيات حساسة. ما يثير القلق هو أن OP-512 أصبحت المجموعة الرابعة المرتبطة بالصين التي تستهدف خوادم IIS بشكل مركز خلال الاثني عشر شهراً الماضية، مقتفيةً أثر مجموعات مثل CL-STA-0048 وDragonRank وGhostRedirector، بالإضافة إلى رصد استخدام واسع النطاق لبرمجية BadIIS المعدلة ومجموعة SHADOW-EARTH-053 التي تستهدف القطاعات الحكومية والدفاعية في آسيا.
التحليل التقني
يرتكز الهجوم التقني لمجموعة OP-512 على نشر إطار عمل خبيث مخصص يتكون من ثلاث أدوات Web Shells تمنح المهاجمين تحكماً كاملاً وعن بعد بالخادم المستهدف. وتتميز هذه الأدوات بقدرات تقنية متقدمة تشمل:
- تقنية تزييف الطوابع الزمنية (Timestomping): تلتف البرمجية على التحقيقات الجنائية الرقمية من خلال فحص جميع الملفات والمجلدات المحيطة بالمسار الذي زُرعت فيه، ثم حساب متوسط القيمة الزمنية لآخر تعديل (Median last-modified timestamp)، وتقوم تلقائياً بتعديل تاريخ إنشائها وتعديلها ليطابق هذا المتوسط، مما يجعل الملفات الخبيثة تبدو وكأنها جزء قديم من النظام الأصلي لخادم الويب.
- آليات التشفير والتحكم الفريد: يتم توليد كل نسخة من الويب شيل بشكل فريد لكل خادم مستهدف، مع تقييد الوصول للمهاجم فقط عبر ضوابط تشفير معقدة تمنع الباحثين الأمنيين من محاكاة الاتصال أو تحليله بسهولة.
- الإبلاغ الذاتي التلقائي (Self-Reporting Mechanism): بمجرد تثبيت البرمجية، يقوم الخادم المخترق بإرسال تقرير تلقائي لمخدم التحكم والسيطرة الخاص بالمهاجمين للإبلاغ عن نجاح العملية وموقع الملف المخترق عبر استعلام DNS أو طلب HTTP كبديل احتياطي.
في الحالات المسجلة، استهدف المهاجمون خوادم IIS قديمة تعمل بنظام التشغيل Windows Server 2016 وتعتمد على إطار العمل .NET Framework 4.0 الذي وصل إلى نهاية عمره الافتراضي (End-of-Life). وقد بدأت سلسلة الهجوم بما يُعرف بـ "الركض السريع" (Sprint) عبر استغلال عملية تشغيل خادم الويب المعروفة باسم w3wp.exe لزرع أول ويب شيل في دليل تحميل الملفات الخاص بالتطبيق المضيف، وذلك بعد رصد نشاط تمهيدي للمهاجمين قبل الحادث الرئيسي بحوالي 75 يوماً عبر إجراء استعلامات DNS لنطاق خبيث يسيطر عليه المهاجمون وهو ashx.lhlsjcb[.]com. تلا ذلك محاولة ترقية الصلاحيات إلى مستوى SYSTEM الحرج داخل الخادم باستخدام حزمة الأدوات الشهيرة Potato Suite، والتحقق من نجاح الترقية عبر تشغيل الأمر whoami /priv للحصول على كامل الصلاحيات الإدارية.
السياق وتأثير السوق
يأتي ظهور OP-512 ليؤكد وجود تركيز استراتيجي متزايد من قبل مجموعات التجسس المرتبطة بالصين على استهداف البنية التحتية لويب IIS. خوادم الويب المواجهة للإنترنت، لا سيما تلك التي تشغل أنظمة تشغيل وتطبيقات برمجية قديمة وغير مدعومة أمنياً، تمثل نقطة دخول ذهبية وسهلة الاختراق للمجموعات المتقدمة (APTs) الباحثة عن موطئ قدم دائم داخل الشبكات المؤسسية الحساسة دون الحاجة لجهود استغلال ثغرات يوم الصفر (Zero-Day) المكلفة.
مقارنةً بالتهديدات السابقة مثل DragonRank التي ركزت على تحسين محركات البحث الخبيث (SEO poisoning) أو البرمجيات الجاهزة المتداولة، فإن OP-512 تعكس تحولاً استراتيجياً نحو الأدوات المخصصة المصممة خصيصاً للهروب من أدوات الكشف والاستجابة الخاصة بنقاط النهاية (EDR) التي تم ضبطها وتدريبها على كشف المجموعات الثلاث الأخرى. هذا التخصيص يشير إلى استثمار مالي وتقني كبير من قبل الجهات الراعية للحملة لتطوير ترسانة أسلحة سيبرانية قادرة على البقاء لفترات طويلة داخل الشبكات الحساسة دون إثارة أي شكوك في فرق الأمن والاستجابة للحوادث.
رؤية Glitch4Techs
نرى في Glitch4Techs أن ظهور مجموعة OP-512 يمثل ناقوس خطر حقيقي للمؤسسات التي تعتمد على دفاعات أمنية تقليدية أو تلك التي تتهاون في تحديث بنيتها التحتية. يكمن الخطر الأكبر هنا في آلية "Timestomping" الذكية المطبقة بداخل إطار العمل؛ فالتحقيقات الجنائية الرقمية غالباً ما تعتمد على فرز الملفات المنشأة حديثاً للكشف عن الاختراق، وتزييف التواريخ بناءً على متوسط تعديل المجلد المحيط يُحيد هذا الخط الدفاعي بالكامل.
توقعاتنا تشير إلى أن مجموعات التجسس الصينية ستواصل استغلال خوادم IIS القديمة لسببين رئيسيين: الأول هو اتساع رقعة الأجهزة والأنظمة التي لم تتم ترقيتها في قطاعات حيوية كالصناعة والخدمات الحكومية، والثاني هو أن هذه الخوادم تمتلك اتصالاً مباشراً بالإنترنت وصلاحيات واسعة داخل الشبكة الداخلية للمؤسسة. ننصح مدراء الأنظمة بضرورة مراجعة سجلات العمليات الخاصة بـ w3wp.exe بشكل دوري، واستبدال أنظمة التحقق من الملفات التقليدية بآليات مراقبة السلوك الفوري والتحقق من سلامة الملفات (File Integrity Monitoring)، بجانب الاستغناء الفوري عن إصدارات .NET Framework 4.0 وWindows Server 2016 القديمة لتجنب السقوط كضحية مجهولة لهذه الحملة المنظمة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.