كشـف الباحثون عن هجوم جديد عبـر الأنظمة الأساسية من 5 مجموعات مختلفة من APT التى تعمل لصالح الحكومة الصينية تستهدف خوادم Linux وأنظمة Windows و Android المنتشرة في مؤسسة حول العالم باستخدام Remote Access Trojan ، ولا تزال الحملة غير مكتشفة ما يقرب من عقد من الزمان
تتألف مجموعات التهديدات من APT من مقاولين مدنيين يعملون لصالح الحكومة الصينية وركزوا على خادم لينكس الكبير الذي نشر مراكز البيانات التي تعد العمود الفقري لمعظم عمليات شبكة المؤسسة الحساسة
تنتقل هجمات APT هذه إلى برامج Linux الضارة المرتبطة بواحدة من أكبر شبكات الروبوت التي تم اكتشافها على الإطلاق ، جنبًا إلى جنب مع الجذور الخفية على مستوى النواة التي يصعب للغاية اكتشافها وزيادة احتمالية معدل الإصابة.
تهاجم هذه المجموعات بشكل أساسي بيئات Red Hat Enterprise و CentOS و Ubuntu Linux لأغراض التجسس وسرقة الملكية الفكرية للعديد من الصناعات فى جميع أنحاء العالم.
يستهدف استهداف خوادم Linux المزايا التالية
• تسوية خوادم الويب لنظام لينكس تسمح باستخراج كميات هائلة من البيانات التى يمكن حجبها ضمن الحجم الكبير لحركة مرور الويب اليومية
• تتيح خوادم قاعدة بيانات لينكس للمهاجمين فرصة أكبر للعثور على بيانات قيمة مثل الملكية الفكرية الحساسة أو الأسرار التجارية أو القوائم لأسماء المستخدمين وكلمات المرور للموظفين بشكل سريع نسبيًا
• تؤدى المربعات السريعة لنظام Linux ، والمعروفة أيضا بالخوادم الحصينة أو الوكيل ، إلى محو طبقة من الحماية تعتمد عليها عادةً معظم شبكات الشركات لفصل الشبكات الداخلية عن التهديدات الخارجية
• تتيح خوادم قاعدة بيانات لينكس للمهاجمين فرصة أكبر للعثور على بيانات قيمة مثل الملكية الفكرية الحساسة أو الأسرار التجارية أو القوائم لأسماء المستخدمين وكلمات المرور للموظفين بشكل سريع نسبيًا
• تؤدى المربعات السريعة لنظام Linux ، والمعروفة أيضا بالخوادم الحصينة أو الوكيل ، إلى محو طبقة من الحماية تعتمد عليها عادةً معظم شبكات الشركات لفصل الشبكات الداخلية عن التهديدات الخارجية
هناك العديد من البرامج الضارة ، ومجموعة الأدوات ، والجذور الخفية ، والبنية التحتية المشاركة في هجوم APT واسع النطاق.
يستغل المهاجمون أيضًا برامج Android الضارة مع البرامج الضارة التقليدية لسطح المكتب في حملات المراقبة المستمرة عبر الأنظمة الأساسية وحملات التجسس
تظهر الأدلة التي تم جمعها أن المهاجمين تحولوا إلى استخدام منصة سحابية لخادم القيادة والتحكم وأداء عملية استخراج البيانات التي تساعدهم على أداء عملياتهم عبر الاتصال الموثوق
أربع من هذه المجموعات الخمس معروفة بالفعل لمجتمع الأمن باسم PASSCV و BRONZE UNION (المعروف أيضًا باسم APT27 و EMISSARY PANDA) ، وهي مجموعة يتم تتبعها داخليًا باسم CASPER (المعروف أيضًا باسم LEAD) ومجموعة WINNTI الأصليه
مجموعة APT خامسة تسمى مجموعة خلايا منشقة لينكس تم تتبعها باسم WLNXSPLINTER باستخدام مجموعة من الأبواب الخلفية تسمى مجموعة أدوات WINNTILNX
هناك 3 أنواع مختلفة من الباب الخلفي و 2 من الجذور الخفية التي تستخدمها هذه المجموعات فى هذا الهجوم الهائل على مدى عقد من الزمان
- PWNLNX1 (مستتر)
- PWNLNX2 (مستتر)
- PWNLNX3 (مستتر)
- PWNLNX4 (رووتكيت)
- PWNLNX5 (خادم C2 لكل من مجموعة البرامج الضارة لنظامي التشغيل Windows و Linux)
- PWNLNX6 (رووتكيت)
تحاول برامج Windows الضارة التى استخدمت هذا في الحملة التملص من المدافعين من خلال استخدام شهادات توقيع رمز Adware المسروقة ، وإخفاء البرامج الضارة فى مرمى البصر على أمل أن يتم رفضها على أنها مجرد لمحة أخرى فى تدفق مستمر تقريبًا من تنبيهات برامج الإعلانات.
وجد الباحثون أيضًا متغيرات ZXShell معدلة شائعة الاستخدام بواسطة BRONZE UNION (المعروف أيضًا باسم APT27 ، EMISSARY PANDA).
تحتوى متغيرات ZXShell على العديد من القطارات التي تقوم بتحميل حمولة Windows الخلفية التي تحتوى على الوظائف التالية
قسم البرامج الضارة للجوال
وجد الباحثون دليلاً على أن مجموعات APT هذه طورت أيضًا برنامجًا ضارًا للجوال وأداة طروادة للوصول عن بعد قوية للأجهزة المحمولة ، خاصة لمنصة Android.
تشبه برامج Android الضارة التي اكتشفها الباحثون الرمز في أداة اختبار الاختراق المتاحة تجاريًا والتي تم إنشاؤها قبل عامين تقريبًا.
بعد الفحص الدقيق للمجموعات التى تستفيد من غرسات Linux ، وجد باحثو BlackBerry عددا من المؤشرات ضمن البنى التحتية الحالية والقديمة C2 بوجود غرسات متحركة مرتبطة بكل من PASSCV و CASPER.
اكتشاف آخر مثير للاهتمام هو NetWire RAT ، وهو أداة إدارة عن بعد متعددة المنصات ، تجارية ، جاهزة (RAT) يمكن ترخيصها على أساس شهري أو سنوي من شركة تسمى World Wired Labs.
يتم استخدام وحدة RAT هذه بشكل شرعى من قبل مسؤولي النظام ، ومسؤول الشبكة ، والمستجيبين للحوادث ، وكذلك الآباء الذين يرغبون في مراقبة نشاط أطفالهم على الهاتف المحمول.
لكن أداة RAT هي واحدة من أكثر RATs المنتشرة في الاستخدام من قبل الشركات الإجرامية ومجموعات AP
حدد باحثو BlackBerry أيضًا العديد من الغرسات المصنفة على أنها PWNDROID5 والتي تنكرت على أنها تحديثات Adobe Flash وهمية لنظام Android في حملة تم تحديدها حديثًا باسم OPERATION ANDROIDBEACON
قال John McClurg ، كبير مسؤولي أمن المعلومات في BlackBerry: "هذا البحث يرسم صورة لجهود تجسس تستهدف العمود الفقري للغاية للبنية التحتية لشبكات المؤسسات الكبيرة والتي هى أكثر منهجية مما تم الاعتراف به سابقا يمكنك قراءة التقرير الكامل هنا