كشف الباحثون النقاب عن حملة قرصنة ضخمة تستخدم أدوات وتقنيات متطورة لاختراق شبكات الشركات العالمية.
وينتمي المتسللون إلى مجموعة معروفة تمولها الحكومة الصينية، وهم مزودون بالأدوات الجاهزة والخاصة.
وتستغل إحدى هذه الأدوات Zerologon، وهو الاسم الذي يُطلق على ثغرة أمنية في خادم ويندوز جرى تصحيحها في شهر أغسطس، ويمكنها منح المهاجمين امتيازات مسؤول ضمن الأنظمة الضعيفة.
وتستخدم شركة (سيمانتيك) Symantec الاسم الرمزي Cicada للمجموعة، التي يعتقد على نطاق واسع أن الحكومة الصينية تمولها.
وتحمل المجموعة أيضًا ألقاب APT10 و Stone Panda و Cloud Hopper من منظمات بحثية أخرى.
وكانت المجموعة تنشط في مجال القرصنة والتجسس منذ عام 2009 على الأقل، وتستهدف بشكل حصري الشركات المرتبطة باليابان.
وتوجد الشركات المستهدفة في الحملة الأخيرة في الولايات المتحدة ودول أخرى، إلا أن جميع تلك الشركات لها روابط مع اليابان أو الشركات اليابانية.
وكتب الباحثون: يجب أن تكون المنظمات المرتبطة باليابان في حالة تأهب، إذ من الواضح أنها هدف رئيسي لهذه المجموعة المتطورة، ويبدو أن صناعة السيارات تعتبر هدفًا رئيسيًا في حملة الهجوم هذه.
وأضافوا: في ظل وجود مجموعة واسعة من الصناعات المستهدفة بهذه الهجمات، يجب على المنظمات اليابانية في جميع القطاعات أن تدرك أنها معرضة لخطر هذا النوع من النشاط.
وتستخدم الهجمات على نطاق واسع التحميل الجانبي لملفات مكتبة الارتباط الديناميكي DLL، وهي تقنية تحدث عندما يستبدل المهاجمون ملف DLL شرعي لنظام ويندوز بملف ضار.
ويستخدم المهاجمون هذه التقنية لإدخال البرامج الضارة في عمليات مشروعة حتى يتمكنوا من منع برامج الأمان من اكتشاف الاختراق.
كما تستخدم الحملة أيضًا أداة قادرة على استغلال بروتوكول Netlogon، الذي تستخدمه خوادم ويندوز للسماح للمستخدمين بتسجيل الدخول إلى الشبكات.
ويمكن للأشخاص الذين ليس لديهم مصادقة استخدام بروتوكول Netlogon للوصول إلى وحدات التحكم في مجال Active Directory، التي تحمي جميع الأجهزة المتصلة بالشبكة.
وصححت شركة مايكروسوفت في شهر أغسطس ثغرة أمنية خطيرة لتصعيد الامتيازات، لكن الثغرة ما تزال مستخدمة لاختراق المؤسسات التي لم تثبت التحديث بعد.
وحث مكتب التحقيقات الفيدرالي ووزارة الأمن الداخلي الشركات والمنظمات على إصلاح الأنظمة المصابة.
ومن بين الأجهزة التي تم اختراقها أثناء الهجمات التي اكتشفتها شركة (سيمانتيك) وحدات التحكم في مجال Active Directory وخوادم الملفات.
وتشمل الأهداف مجموعة متنوعة من الصناعات، ومن ضمنها السيارات، حيث يجري استهداف الشركات المصنعة للسيارات والشركات الموردة لقطع الغيار أيضًا، مما يشير إلى أن هذا قطاع ذو أهمية كبيرة للمهاجمين.
وتتضمن الصناعات الأخرى المستهدفة الملابس والإلكترونيات والهندسة وشركات التجارة العامة والمنتجات الصناعية والأدوية.
وربطت شركة (سيمانتيك) الهجمات بمجموعة Cicada استنادًا إلى البصمات الرقمية الموجودة في البرامج الضارة والتعليمات البرمجية للهجوم ضد الشركات العالمية.
وينتمي المتسللون إلى مجموعة معروفة تمولها الحكومة الصينية، وهم مزودون بالأدوات الجاهزة والخاصة.
وتستغل إحدى هذه الأدوات Zerologon، وهو الاسم الذي يُطلق على ثغرة أمنية في خادم ويندوز جرى تصحيحها في شهر أغسطس، ويمكنها منح المهاجمين امتيازات مسؤول ضمن الأنظمة الضعيفة.
وتستخدم شركة (سيمانتيك) Symantec الاسم الرمزي Cicada للمجموعة، التي يعتقد على نطاق واسع أن الحكومة الصينية تمولها.
وتحمل المجموعة أيضًا ألقاب APT10 و Stone Panda و Cloud Hopper من منظمات بحثية أخرى.
وكانت المجموعة تنشط في مجال القرصنة والتجسس منذ عام 2009 على الأقل، وتستهدف بشكل حصري الشركات المرتبطة باليابان.
وتوجد الشركات المستهدفة في الحملة الأخيرة في الولايات المتحدة ودول أخرى، إلا أن جميع تلك الشركات لها روابط مع اليابان أو الشركات اليابانية.
وكتب الباحثون: يجب أن تكون المنظمات المرتبطة باليابان في حالة تأهب، إذ من الواضح أنها هدف رئيسي لهذه المجموعة المتطورة، ويبدو أن صناعة السيارات تعتبر هدفًا رئيسيًا في حملة الهجوم هذه.
وأضافوا: في ظل وجود مجموعة واسعة من الصناعات المستهدفة بهذه الهجمات، يجب على المنظمات اليابانية في جميع القطاعات أن تدرك أنها معرضة لخطر هذا النوع من النشاط.
وتستخدم الهجمات على نطاق واسع التحميل الجانبي لملفات مكتبة الارتباط الديناميكي DLL، وهي تقنية تحدث عندما يستبدل المهاجمون ملف DLL شرعي لنظام ويندوز بملف ضار.
ويستخدم المهاجمون هذه التقنية لإدخال البرامج الضارة في عمليات مشروعة حتى يتمكنوا من منع برامج الأمان من اكتشاف الاختراق.
كما تستخدم الحملة أيضًا أداة قادرة على استغلال بروتوكول Netlogon، الذي تستخدمه خوادم ويندوز للسماح للمستخدمين بتسجيل الدخول إلى الشبكات.
ويمكن للأشخاص الذين ليس لديهم مصادقة استخدام بروتوكول Netlogon للوصول إلى وحدات التحكم في مجال Active Directory، التي تحمي جميع الأجهزة المتصلة بالشبكة.
وصححت شركة مايكروسوفت في شهر أغسطس ثغرة أمنية خطيرة لتصعيد الامتيازات، لكن الثغرة ما تزال مستخدمة لاختراق المؤسسات التي لم تثبت التحديث بعد.
وحث مكتب التحقيقات الفيدرالي ووزارة الأمن الداخلي الشركات والمنظمات على إصلاح الأنظمة المصابة.
ومن بين الأجهزة التي تم اختراقها أثناء الهجمات التي اكتشفتها شركة (سيمانتيك) وحدات التحكم في مجال Active Directory وخوادم الملفات.
وتشمل الأهداف مجموعة متنوعة من الصناعات، ومن ضمنها السيارات، حيث يجري استهداف الشركات المصنعة للسيارات والشركات الموردة لقطع الغيار أيضًا، مما يشير إلى أن هذا قطاع ذو أهمية كبيرة للمهاجمين.
وتتضمن الصناعات الأخرى المستهدفة الملابس والإلكترونيات والهندسة وشركات التجارة العامة والمنتجات الصناعية والأدوية.
وربطت شركة (سيمانتيك) الهجمات بمجموعة Cicada استنادًا إلى البصمات الرقمية الموجودة في البرامج الضارة والتعليمات البرمجية للهجوم ضد الشركات العالمية.