في 25 مارس، اتهمت الولايات المتحدة والمملكة المتحدة جمهورية الصين الشعبية بالقيام بأنشطة قرصنة مدعومة من الدولة لأهداف سياسية. وكشفت وزارة العدل الأمريكية عن لائحة اتهام اتهام سبعة أفراد متورط مع مجموعة القرصنة APT31. ردت الولايات المتحدة والمملكة المتحدة على النشاط السيبراني المزعوم المدعوم من الدولة بفرض عقوبات.
وخلال مؤتمر صحفي، قال المتحدث باسم وزارة الخارجية الصينية لين جيان: “في السابق، قدمت الصين توضيحات فنية وردودًا على ما يسمى بمعلومات APT31 التي قدمها الجانب البريطاني. إنه يظهر بوضوح أن الأدلة التي قدمها الجانب البريطاني غير كافية وأن الاستنتاجات ذات الصلة تفتقر إلى الاحترافية”.تقارير رويترز.
ماذا تكشف هذه الادعاءات عن أهداف حملات التجسس الإلكتروني التي تقوم بها جمهورية الصين الشعبية والتكتيكات المستخدمة؟ كيف يمكن للأهداف المحتملة أن تستجيب مع استمرار تهديد التجسس الإلكتروني في المشهد الجيوسياسي اليوم؟
أبت31
تتمتع APT31 بتاريخ طويل في دعم أهداف التجسس والاستخبارات الأجنبية في جمهورية الصين الشعبية. تُعرف المجموعة أيضًا في مجتمع أبحاث الأمن السيبراني باسم Zirconium وViolet Typhoon وJudgment Panda وAltaire، وفقًا لـ لائحة الاتهام.
“أكثر من 10000 رسالة بريد إلكتروني ضارة تؤثر على آلاف الضحايا عبر قارات متعددة. وقال نائب المدعي العام: “كما زُعم في لائحة الاتهام اليوم، فإن عملية القرصنة العالمية الغزيرة هذه – المدعومة من حكومة جمهورية الصين الشعبية – استهدفت الصحفيين والمسؤولين السياسيين والشركات لقمع منتقدي النظام الصيني، وتعريض المؤسسات الحكومية للخطر، وسرقة الأسرار التجارية”. ليزا موناكو في البيان الصحفي لوزارة العدل.
استخدمت APT31 مجموعة متنوعة من التقنيات لاختراق أهدافها. وتتناول لائحة الاتهام استخدام الجماعة لرسائل البريد الإلكتروني الخبيثة في حملتها لاستهداف المسؤولين الحكوميين والسياسيين. يبدو أن رسائل البريد الإلكتروني الخبيثة هذه مرسلة من صحفيين أمريكيين. وبمجرد فتحها، فإنها تحتوي على مقتطفات من مقالات إخبارية مشروعة.
هذه هي إلى حد كبير طبيعة بعض عمليات التجسس الصينية المستهدفة؛ يوضح مايكل راجي، المحلل الرئيسي في مانديانت، جوجل كلاود، والتي توفر حلول الدفاع السيبراني.
لكن فتح إحدى رسائل البريد الإلكتروني هذه يؤدي إلى تنشيط رابط التتبع الذي يوفر للجهات الفاعلة في مجال التهديد معلومات حول موقع الهدف وعنوان IP والأجهزة.
استخدمت المجموعة البرمجيات الخبيثة، والتصيد الاحتيالي، وتقنيات العيش خارج الأرض، بالإضافة إلى استهداف الأجهزة الطرفية الضعيفة. يقول راجي: “في الأساس، كان لديهم نفس المهمة لمدة 14 عامًا، بينما أصبحت قدراتهم أكثر تنوعًا وأكثر فعالية مع مرور الوقت”.
على سبيل المثال، فإن الاستفادة من قدرات GenAI تجعل عملهم أكثر فعالية. “لقد بدأنا نراهم يستخدمون نماذج لغوية كبيرة … للمساعدة في إنشاء حملات تصيد احتيالي قليلاً … بشكل أسرع وأكثر دقة قليلاً،” مايكل فريمان، رئيس قسم استخبارات التهديدات في شركة الأمن السيبراني. أرميس، شركة الأمن السيبراني لذكاء الأصول، أسهم.
الأهداف
واستهدف الأفراد السبعة المتهمون، بالإضافة إلى قراصنة آخرين يعملون في جمهورية الصين الشعبية، أفرادًا وشركات في الولايات المتحدة ودول أخرى، وفقًا لوزارة العدل. ال واتهمت الحكومة البريطانية الصين ذكرت صحيفة نيويورك تايمز أن الولايات المتحدة قامت بشن هجمات إلكترونية على اللجنة الانتخابية، مما أدى إلى تعريض التفاصيل الشخصية لملايين الناخبين للخطر.
“هناك عدد قليل من المنظمات التي هي خارج نطاق الاستهداف أو خارج نطاقها [for] أي من مجموعات APT هذه،” قال آدم ماري، رئيس قسم تكنولوجيا المعلومات في شركة الأمن السيبراني ذئب القطب الشمالي وعميل سابق في مكتب التحقيقات الفيدرالي، يقول InformationWeek. “قد لا يكون هذا حتى ما تفعله تلك المنظمة بنفسها. ربما يكون لديهم عميل أو اتصال ببائع تابع لمؤسسة مختلفة يتم استهدافها.”
وكشفت لائحة الاتهام أن الجهات الفاعلة في مجال التهديد لم تلاحق أهدافًا محددة فحسب، بل أيضًا أفراد عائلاتهم واتصالاتهم.
وبينما تزعم لائحة الاتهام هذه استهداف APT31 لمنتقدي الحكومة الصينية والسياسيين، فإن المجموعة معروفة أيضًا بسرقة الملكية الفكرية. يقول راجي: “أعتقد أن هذه ميزة سياسية واقتصادية يمكن استخلاصها من ضحايا هذه الهجمات”.
الإجابة
وفي نفس اليوم الذي تم فيه الكشف عن لائحة الاتهام، أصدر مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة (OFAC)فرض عقوبات على شركة صينية: شركة ووهان شياورويزهي للعلوم والتكنولوجيا المحدودة (ووهان XRZ). وبحسب البيان الصحفي، فإن الشركة “كانت بمثابة غطاء للعديد من العمليات السيبرانية الخبيثة”. كما قام مكتب مراقبة الأصول الأجنبية (OFAC) بتسمية مواطنين صينيين تابعين للشركة: Zhao Guangzong وNi Gaobin.
تم تنفيذ هذا الجهد الذي تبذله الحكومة الأمريكية بالشراكة مع وزارة الخارجية والكومنولث والتنمية في المملكة المتحدة (FCDO).
يقول راجي: “أعتقد أن اتباع نهج موحد للكشف عن النشاط السيبراني يمثل رادعًا عامًا يشير إلى مدى فعالية الحكومات العالمية في اكتشاف النشاط السيبراني الخبيث”.
ومع عدم وجود معاهدة لتسليم المجرمين مع الصين، فإن السلطات الأمريكية غير قادرة على اعتقال الأفراد الذين وردت أسماؤهم في مكتب مراقبة الأصول الأجنبية وفي لائحة الاتهام التي وجهتها وزارة العدل. لكن هذا لا يعني أن هذا الإجراء ليس له أي تأثير.
“إن تسمية الأفراد خلف الكواليس يساعدنا، خاصة في جانب البحوث الأمنية، في رسم الخرائط وليس فقط [the] يقول فريمان: “التكتيكات التي يستخدمونها للتسوية بين البيئات، ولكن كيف يختبئون فعليًا خلف الكواليس ونوع الشركات الواجهة التي يستخدمونها”.
كما تقيد لائحة الاتهام قدرة هؤلاء الأفراد على السفر. “إذا غادر هؤلاء الأفراد الصين لأي سبب من الأسباب، وكانت هناك إمكانية للقبض عليهم في بلد آخر وتسليمهم، [that] ويضيف فريمان: “سيكون ذلك بمثابة فائدة كبيرة لنا”.
جاري التنفيذ التجسس السيبراني
إن الادعاءات الصادرة عن الولايات المتحدة والمملكة المتحدة ليست هي الرؤية الوحيدة حول أنشطة القرصنة الصينية التي ظهرت إلى النور مؤخرًا. في فبراير، وثائق مسربة من شركة الأمن I-Soon وأظهرت أن الحكومة الصينية تعمل مع قراصنة القطاع الخاص لاستهداف الحكومات والشركات الأخرى، وفقا لصحيفة نيويورك تايمز.
من المرجح أن يستمر التعاون الدولي، مثل الاستجابة المنسقة بين الولايات المتحدة والمملكة المتحدة، وكذلك نشاط الدولة القومية. وتقوم دول العيون الخمس (الولايات المتحدة، والمملكة المتحدة، وأستراليا، وكندا، ونيوزيلندا) بتبادل المعلومات الاستخباراتية مع بعضها البعض بشكل منتظم. يقول ماري: “هناك قدر كبير من تبادل المعلومات الاستخباراتية الذي يجري من أجل أن تفهم الدول المختلفة ما يحدث، وما تفعله هذه المجموعات المحددة… تبادل أشياء مثل مؤشرات التسوية”.
وفي مواجهة التجسس الإلكتروني المستمر، لا يكون للحكومات الدور الوحيد الذي تلعبه في الدفاع. يمكن للضحايا المحتملين التعرف على المخاطر التي يتعرضون لها والتصرف وفقًا لذلك.
“أعتقد أنه بالنظر إلى كل ما تم الكشف عنه مؤخرًا من وثائق I-Soon، وقرار الاتهام الذي أصدرته وزارة العدل، والأشياء التي يتعلمها الناس حول TikTok… أعتقد أن كل هذه الأشياء، إذا جمعتها معًا، يمكن أن ترسم صورة مختلفة تمامًا للناس”. الذين يعتقدون، أنا مجرد مواطن عادي. يقول ماري: “لن أكون شخصًا مستهدفًا”.
إن أي شركة تقوم بأبحاث تهم الحكومة الصينية، وكذلك الشركات التي تعمل كمقاولين حكوميين، والأشخاص الذين يعملون هناك، تعتبر أهدافًا محتملة.
يحث راجي: “يجب على قادة أمن المؤسسات أن يفكروا في تنوع نواقل الهجوم التي تستطيع الجهات الفاعلة في تهديد التهديدات المتقدمة المستمرة (APT) الصينية توظيفها”.
إن التعرف على هذا التهديد ونقاط الضعف المحتملة يمكن أن يساعد فرق أمن المؤسسات على تقليل مخاطر أن تصبح ضحية لنشاط الدولة القومية.
في حين أن مجموعات مثل APT31 تنشر مجموعة متنوعة من التقنيات، فإن العديد من هذه التقنيات معروفة. إن اتخاذ خطوات للدفاع عن الهويات، وتصحيح الأنظمة الضعيفة، وتثقيف الناس حول الهندسة الاجتماعية، يمكن أن يقطع شوطا طويلا نحو منع الهجمات الناجحة.
يقول ماري: “إلى أن يكون لدينا هذا النوع من الوعي الجيد بالنظافة السيبرانية والوعي الأمني وثقافة الأمن في كل ما نقوم به، لن نكون قادرين على مقاومة هذا النوع من الهجمات”.
