وقد أكد المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ذلك من جديد التوجيهات الصادرة سابقاً للأفراد الذين يعتبرون معرضين لخطر كبير للقرصنة المستهدفة من قبل جهات التهديد المدعومة من الدولة الصينية، ولا سيما APT31، والتي تخضع اليوم للعقوبات في كل من المملكة المتحدة والولايات المتحدة بسبب حملات القرصنة التي يعود تاريخها إلى أكثر من عقد من الزمن.
إلى جانب التجسس واسع النطاق، تشمل هذه الأنشطة القمع العابر للحدود الوطنية للمعارضين ومنتقدي الصين في المملكة المتحدة – بما في ذلك على الأرجح النشطاء المؤيدين للديمقراطية من هونغ كونغ، الذين طلب الكثير منهم اللجوء وحصلوا عليه في المملكة المتحدة بعد إجبارهم على مغادرة منازلهم. .
وقال بول تشيتشيستر، مدير عمليات المركز الوطني للأمن القومي: “الأنشطة الخبيثة التي كشفناها اليوم تشير إلى نمط أوسع من السلوك غير المقبول الذي نشهده من جهات فاعلة تابعة للدولة الصينية ضد المملكة المتحدة وحول العالم”.
وأضاف: “إن استهداف نظامنا الديمقراطي أمر غير مقبول وسيواصل المركز الوطني للأمن السيبراني استدعاء الجهات الفاعلة السيبرانية التي تشكل تهديدًا للمؤسسات والقيم التي يقوم عليها مجتمعنا”.
وقال تشيتشيستر: “من الضروري أن تدافع المنظمات والأفراد المشاركين في عملياتنا الديمقراطية عن أنفسهم في الفضاء الإلكتروني، وأنا أحثهم على اتباع وتنفيذ نصيحة NCSC للبقاء آمنًا على الإنترنت”.
قام NCSC بمراجعة إرشاداته عبر الإنترنت للأفراد البارزين، مع تحديد الخطوات الرئيسية التي يجب على هؤلاء الأشخاص اتخاذها كأمر طبيعي لجعل أنفسهم هدفًا أكثر صعوبة لممثل تهديد من أمثال APT31.
“إن استهداف نظامنا الديمقراطي أمر غير مقبول وسيستمر المركز الوطني للأمن السيبراني في استدعاء الجهات الفاعلة السيبرانية التي تشكل تهديدًا للمؤسسات والقيم التي يقوم عليها مجتمعنا”
بول تشيتشيستر، NCSC
لا تنطبق هذه الإرشادات على السياسيين فحسب، ولكنها مفيدة بنفس القدر لكبار قادة الأعمال والباحثين والعلماء، الذين قد تكون منظماتهم معرضة لخطر التجسس الصناعي، بالإضافة إلى النشطاء والمهنيين القانونيين والصحفيين.
ويسلط الضوء على أهمية حماية الحسابات عبر الإنترنت باستخدام كلمات مرور قوية والمصادقة متعددة العوامل (MFA)، ويحث المعرضين للخطر على مراجعة استخدامهم العام لوسائل التواصل الاجتماعي وتطبيقات المراسلة وإعدادات خصوصية حساباتهم.
يجب أيضًا على الأفراد المعرضين للخطر أن يتحسنوا كثيرًا في تحديث أجهزتهم. يعد تثبيت التحديثات الأمنية على الفور أحد أسهل الطرق للحماية من الهجمات السيبرانية، ويجب أن تقوم غالبية تطبيقات الهاتف المحمول التي من المحتمل أن تكون مستهدفة من قبل مجموعات مثل APT31 بذلك تلقائيًا. ويجب تشغيل هذه القدرة، حيثما يتم عرضها. يجب على المستخدمين أيضًا الانتباه إلى المكان الذي يقومون بتنزيل التطبيقات منه، والتأكد من استخدام متاجر Google وApple الرسمية فقط.
يُنصح المستخدمون أيضًا بحماية الوصول الفعلي إلى أجهزتهم باستخدام كلمات المرور وأرقام التعريف الشخصية، وإذا كانوا من مستخدمي iPhone، لتنشيط وضع القفل الخاص بشركة Apple. ويجب عليهم أيضًا التفكير في استبدال الأجهزة القديمة، والتي قد تكون غير مدعومة.
إذا اشتبه المستخدمون في أنهم مستهدفون بهذه الطريقة، فيجب عليهم أن يكونوا متيقظين بشكل خاص لرسائل البريد الإلكتروني المشبوهة، وأن يتجنبوا النقر على أي روابط أو الرد حتى يتأكدوا من صحة الاتصالات. من المعروف أن الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) على مستوى الدولة القومية تنتحل شخصية جهات اتصال موثوقة للحصول على معلومات من أهدافها، لذا فإن التحقق من جهات الاتصال مهم أيضًا.
إذا نقر المستخدم على رابط ما، أو اعتقد أنه قد تم اختراقه، فننصحه بعدم الذعر والإبلاغ عن ذلك على الفور.
العيش خارج الأرض
يأتي الإجراء الأخير للمملكة المتحدة بعد أيام فقط من قيام مركز NCSC ونظرائه في منظمة Five Eyes، بما في ذلك وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، أصدرت تحذيرًا محدثًا بشأن أنشطة Volt Typhoon، وهي جهة فاعلة تابعة لـ APT مدعومة من الدولة الصينية والتي كانت تستهدف بشكل كبير مشغلي البنية التحتية الوطنية الحيوية.
تبع ذلك تحذير سابق في فبراير، حيث قامت وكالات Five Eyes بتفصيل كيف كانت Volt Typhoon – وغيرها من التهديدات المستمرة المتقدمة المدعومة من الدولة، وليس فقط الصينية – تستغل الأدوات المشروعة الموجودة على شبكات الضحايا كجزء من سلاسل هجماتها السيبرانية.
هذه التقنية المجربة والمختبرة، والتي يشار إليها على نطاق واسع باسم العيش خارج الأرضيمكّن جهة التهديد من الاندماج في حركة المرور “التي تحدث بشكل طبيعي” والعمل بشكل منفصل دون أن يتم اكتشافها. وبهذه الطريقة، يمكنهم العمل دون أن يتم اكتشافهم حتى يفوت الأوان على الضحية أن يفعل أي شيء حيال ذلك.
توبي لويس، الرئيس العالمي لتحليل التهديدات في Darktrace، قال هجوم 2023 على مفوضية الانتخابات كان هذا مثالًا جيدًا على حادثة العيش خارج الأرض، حيث ظل مهاجموها متواجدين في شبكتها لبعض الوقت دون أن يتم اكتشافهم.
وقال لـ Computer Weekly: “يسلط هذا الحادث الأخير الضوء على مدى مهارة قراصنة الدولة القومية في الاندماج في نشاط الشبكة العادي”. “كان المؤشر الأولي الوحيد عبارة عن سلسلة من أحداث تسجيل الدخول المشبوهة – ولم تكن هناك علامات واضحة أخرى على حدوث اختراق إلكتروني باستخدام طرق الكشف التقليدية. وهذا تذكير قيم بأنه لم يعد بإمكاننا الاعتماد فقط على البحث عن المؤشرات المعروفة من الهجمات السابقة.
وحدة مكافحة التهديدات Secureworks وأضاف دون سميث، نائب رئيس استخبارات التهديدات: “إن التجسس الإلكتروني الذي ترعاه الدولة الصينية ليس تهديدًا جديدًا. لقد قامت المملكة المتحدة والولايات المتحدة بالوقوف وراء هذه العمليات السرية منذ عدة سنوات. الغرض من التجسس الإلكتروني من وجهة نظر الصين هو الوصول إلى المعلومات التي من شأنها تعزيز أجندة جمهورية الصين الشعبية.
“[However]وعلى مدى العامين الماضيين، بعد أن سئم الصينيون من تعثر عملياتهم وكشفها علنًا، ركزوا بشكل متزايد على المهارات التجارية الخفية في هجمات التجسس عبر الإنترنت. يعد هذا تغييرًا في MO مقارنة بسمعتها السابقة المتمثلة في “السحق والاستيلاء”، لكن الصينيين ينظرون إليه باعتباره تطورًا ضروريًا، أولاً، يجعل من الصعب القبض عليهم، وثانيًا، يجعل من المستحيل تقريبًا نسب الهجوم إلى هم.
“وعلى وجه التحديد، تجلى هذا في أربعة مجالات رئيسية: الشبكات المبهمة؛ يعيش على الحافه؛ العيش خارج الأرض؛ والعيش في السحابة. وقال: “إن هذه التكتيكات مجتمعة تجعل تحديد النشاط الخبيث أكثر صعوبة، ولكن الأهم من ذلك هو جعل الإسناد أكثر تعقيدًا”.
