تعمل مجموعة APT40 الصينية على تكثيف استهداف الضحايا باستخدام مجموعة شبكات صغيرة ومكاتب منزلية ضعيفة كبنية أساسية للقيادة والتحكم، وفقًا لتنبيه دولي
جواسيس صينيون يستهدفون أجهزة إلكترونية ضعيفة في المكاتب المنزلية لشن هجمات إلكترونية
كان الفاعل المتخصص في التهديدات المتقدمة المستمرة (APT) المدعوم من الصين والذي تم تعقبه باسم APT40 مشغولاً بتطوير دليل اللعب الخاص به وقد لوحظ مؤخرًا أنه يستهدف بنشاط ضحايا جدد من خلال استغلال الثغرات الأمنية في أجهزة الشبكات الصغيرة والمكاتب المنزلية (SoHo) كنقطة انطلاق لنشاط القيادة والتحكم (C2) أثناء هجماتهم
وجاء ذلك بحسب تنبيه دولي أصدرته وكالات الأمن السيبراني المتحالفة مع تحالف العيون الخمس من أستراليا وكندا ونيوزيلندا والمملكة المتحدة والولايات المتحدة، بالإضافة إلى هيئات شريكة من ألمانيا واليابان وكوريا الجنوبية.
وبحسب مركز الأمن السيبراني الأسترالي (ACSC)، الذي كان الوكالة الرائدة في هذا التنبيه، استهدفت APT40 بشكل متكرر الشبكات في أستراليا وحول العالم بهذه الطريقة.
وفي دراستين نشرتهما السلطات الأسترالية، استخدمت APT40 أجهزة SoHO المخترقة كبنية أساسية تشغيلية وأجهزة إعادة توجيه “القفزة الأخيرة” أثناء هجماتها، على الرغم من أن أحد تأثيرات القيام بذلك كان جعل نشاطها أسهل إلى حد ما في التوصيف والتتبع.
ووصفت الوكالات أجهزة الشبكات في SoHo بأنها أهداف أسهل بكثير للجهات الخبيثة مقارنة بنظيراتها في الشركات الكبيرة.
وقال الأستراليون: "إن العديد من أجهزة SoHO هذه انتهت صلاحيتها أو لم يتم إصلاحها وتوفر هدفًا سهلًا للاستغلال في اليوم التالي. وبمجرد اختراقها، توفر أجهزة SoHO نقطة انطلاق للهجمات للاندماج مع حركة المرور المشروعة وتحدي المدافعين عن الشبكة.
"وتستخدم هذه التقنية أيضًا بانتظام من قبل جهات أخرى ترعاها الدولة الصينية في جميع أنحاء العالم، وتعتبر الوكالات التي أعدت هذه البرامج هذا تهديدًا مشتركًا.
وأضافوا أن “APT40 تستخدم أحيانًا البنية التحتية المشتراة أو المستأجرة كبنية تحتية لمواجهة الضحايا في عملياتها؛ ومع ذلك، يبدو أن هذه الحرفة في تراجع نسبي”.
شاركت ACSC تفاصيل عن هجوم إلكتروني واحد من APT40 استجابت له في أغسطس 2022، حيث تفاعل عنوان IP ضار يُعتقد أنه تابع للمجموعة مع شبكة المنظمة المستهدفة على مدار شهرين باستخدام جهاز من المحتمل أن يكون ملكًا لشركة صغيرة أو مستخدم منزلي. تم علاج هذا الهجوم قبل أن تتمكن APT40 من إحداث الكثير من الضرر.
قال محمد كاظم، الباحث الأول في استخبارات التهديدات في WithSecure : "لا يوجد ما يشير إلى أن وتيرة أو تأثير العمليات السيبرانية التي ترعاها الحكومة الصينية/الدولة قد انخفضت… بدلاً من ذلك، استمروا في صقل وتحسين حرفتهم. لقد أظهروا استعدادهم للتقاعد عن الأساليب والأدوات التي لم تعد تعمل لصالح أساليب وأدوات جديدة، ولكن في حين أثبتت أساليبهم وتقنياتهم وتكتيكاتهم التقليدية فعاليتها، فقد استمروا بسعادة في استخدامها.
“كما يسلط هذا الاستشارة الضوء على اتجاه مشترك ومتزايد بين الجهات الفاعلة في جمهورية الصين الشعبية في السنوات الأخيرة لاستهداف الأجهزة الطرفية من خلال الاستغلال والاستفادة من الأجهزة المخترقة كجزء من البنية التحتية لشبكاتهم ونشاطهم. ونعتقد أن هذه التقنيات تستخدم عن عمد من قبل هذه الجهات لملاحقة العمليات الأكثر سرية والتي يصعب تتبعها ونسبها، ولكنها تتحدى أيضًا آليات الأمن التقليدية والإشراف عليها،” قال كاظم.
التهديد الجدير بالملاحظة
إن مجموعة APT40 ــ والتي تعرف أيضاً في مختلف مصفوفات الموردين باسم Kryptonite Panda وGingham Typhoon وLeviathan وBronze Mohawk ــ هي مجموعة نشطة للغاية ومن المرجح أن يكون مقرها في مدينة هايكا في مقاطعة هينان، وهي جزيرة قبالة الساحل الجنوبي للصين، على بعد حوالي 300 ميل غرب هونج كونج. وتتلقى مهمتها من إدارة أمن الدولة في هينان التابعة لوزارة أمن الدولة الصينية.
من المرجح أن تكون هذه المجموعة واحدة من عدد من مجموعات التهديدات المتقدمة المستمرة المتورطة في سلسلة من الهجمات الإلكترونية في عام 2021 تم تنظيمها من خلال اختراقات في Microsoft Exchange Server . في يوليو من ذلك العام، وجهت السلطات الأمريكية اتهامات إلى أربعة أعضاء من المجموعة بشأن هجمات تستهدف قطاعات الطيران والدفاع والتعليم والحكومة والرعاية الصحية والأدوية الحيوية والبحرية.
وشهدت هذه الحملة قيام مجموعة APT40 بسرقة الملكية الفكرية الخاصة بالمركبات الغاطسة والمركبات ذاتية القيادة، والصيغ الكيميائية، وخدمة الطائرات التجارية، وتقنية التسلسل الجيني، والأبحاث الخاصة بالأمراض بما في ذلك الإيبولا، وفيروس نقص المناعة البشرية/الإيدز، ومتلازمة الشرق الأوسط التنفسية، والمعلومات لدعم محاولات الفوز بعقود للشركات المملوكة للدولة في الصين.
وتعتبر APT40 تهديدًا جديرًا بالملاحظة بشكل خاص بفضل قدراتها المتقدمة - فهي قادرة على تحويل واستغلال إثباتات المفاهيم (PoCs) للثغرات الأمنية الجديدة بسرعة وتوجيهها ضد الضحايا، ويقوم أعضاء فريقها بإجراء استطلاع منتظم ضد الشبكات ذات الاهتمام بحثًا عن فرص لاستخدامها.
لقد كان مستخدمًا متحمسًا لبعض نقاط الضعف الأكثر انتشارًا وأهمية في السنوات القليلة الماضية، بما في ذلك أمثال Log4j - والواقع أنه لا يزال يحقق النجاح في استغلال بعض الأخطاء التي يعود تاريخها إلى عام 2017.
ويبدو أن المجموعة تفضل استهداف البنية التحتية العامة على التقنيات التي تتطلب تفاعل المستخدم - مثل التصيد عبر البريد الإلكتروني - وتولي قيمة كبيرة للحصول على بيانات اعتماد صالحة لاستخدامها في هجماتها.
التخفيف من اختراق APT40
تتضمن إجراءات التخفيف ذات الأولوية للمدافعين الاحتفاظ بتسجيل محدث وإدارة التصحيحات السريعة وتنفيذ تقسيم الشبكة.
يجب على فرق الأمان أيضًا اتخاذ خطوات لتعطيل خدمات الشبكة أو المنافذ أو جدران الحماية غير المستخدمة أو غير الضرورية، وتنفيذ جدران حماية تطبيقات الويب (WAFs)، وفرض سياسات الحد الأدنى من الامتيازات للحد من الوصول، وفرض المصادقة متعددة العوامل (MFA) على جميع خدمات الوصول عن بُعد التي يمكن الوصول إليها عبر الإنترنت، واستبدال مجموعة أدوات نهاية العمر، ومراجعة التطبيقات المخصصة بحثًا عن وظائف قابلة للاستغلال.
