نيويورك: وكالات
اخترقت مجموعة قرصنة مدعومة من الحكومة الصينية أنظمة الحاسب لست حكومات ضمن الولايات المتحدة الأميركية، وفقا لتقرير تهديد منشور حديثا من شركة الأمن السيبراني Mandiant.
واستهدفت المجموعة، التي تشير إليها Mandiant باسم APT41، حكومات الولايات المتحدة بين ايار 2021 وشباط 2022. ووجدت Mandiant أدلة على سرقة معلومات التعريف الشخصية بما يتفق مع عملية التجسس، لكنها قالت لاحقا إنها لا تستطيع إجراء تقييم نهائي للنية في هذا الوقت.
ولدى Mandiant تاريخٌ في الكشف عن التهديدات الخطيرة للأمن السيبراني، بما في ذلك الهجمات التي ترعاها الدولة مثل اختراق SolarWinds ضد الوكالات الحكومية الأميركية الكبرى من قبل قراصنة يعتقد أنهم مدعومون من الحكومة الروسية.
وتم الاستحواذ على الشركة مؤخرًا بواسطة شركة جوجل في صفقة تمَّ الإعلان عنها جنبًا إلى جنب مع إصدار التقرير.
ووفقًا لبحث Mandian، تمكنت مجموعة PT41 من اختراق الشبكات الحكومية من خلال استغلال نقاط الضعف في التطبيقات التي تمَّ إنشاؤها باستخدام منصة مطور .NET التابعة لشركة مايكروسوفت، بما في ذلك نقطة ضعف لم تكن معروفة من قبل في نظام قاعدة بيانات تقارير صحة الحيوان USAHERDS.
وتم تطوير برنامج USAHERDS لأول مرة لوزارة الزراعة في بنسلفانيا. وقد تمَّ وصفه كنموذج لتحسين إمكانية تتبع الأمراض في الثروة الحيوانية.
APT41 تستهدف حكومات
أكثر من 6 ولايات
اعتمدت ولايات أخرى برنامج USAHERDS لاحقًا. ولكن الإشراف على التعليمات البرمجية أدى إلى كون مفاتيح التشفير التي سمحت بعمليات معينة داخل التطبيق هي نفسها في جميع حالات USAHERDS. ومن شأن اختراق حالة واحدة أن يسمح للمتسلل بتنفيذ التعليمات البرمجية الخاصة به عبر أي نظام يقوم بتشغيل البرنامج.
وقالت Mandiant إن المدى الكامل للاختراق يمكن أن يشمل أهدافًا أكثر من الأهداف الستة المعروفة حاليًا. نقول ست ولايات على الأقل لأنه من المحتمل أن يكون هناك المزيد من الولايات المتضررة. نحن نعلم أن هناك 18 ولاية تستخدم USAHERDS. نتيجة لذلك فإننا نقدر أن هذه حملة على الأرجح أوسع من الولايات الست التي لدينا تأكيد بشأنها. وإلى جانب اختراق التطبيقات المستندة إلى .NET، استغلت APT41 أيضًا ثغرة Log4Shell. ووفقًا لتحليل Mandiant، بدأت APT41 بشن هجمات استغلت Log4j في غضون ساعات من نشر تفاصيل الثغرة الأمنية.
واستخدمت الثغرة الأمنية لتثبيت الأبواب الخلفية في أنظمة لينكس التي من شأنها أن تمنحها وصولاً مستمراً في وقت لاحق. وتمنح تسميات APT للتهديدات المستمرة المتقدمة التي يتم توظيفها بشكل مباشر.
كما تم تفصيل أنشطة APT41 بشكل متعمق في تقرير صادر عن شركة الأمن السيبراني FireEye. وأطلقت الشركة على مجموعة القرصنة Double Dragon، وذلك لتركيزها المزدوج على التجسس والجرائم الإلكترونية المالية. وأدت تصرفات مجموعة القرصنة إلى لفت انتباه السلطات الأميركية إليها. وأصدرت وزارة العدل تهماً ضد خمسة أعضاء من APT41 في عامي 2019 و 2020. وأدى ذلك إلى احتلالهم مكانًا في قائمة المطلوبين الإلكترونيين لمكتب التحقيقات الفيدرالي.
تنويه: جميع المقالات المنشورة تمثل رأي كتابها فقط