مجموعات التجسس الإلكتروني تزيد من صعوبة اكتشافها من أين تأتي هجماتهم من خلال زيادة استخدامهم لشبكات الوكيل – المعروفة باسم شبكات صندوق الترحيل التشغيلية أو ORBs – التي يمكنها إبعاد المدافعين عن الرائحة.
شركة الأمن السيبراني مانديانت وحذرت من أنها شهدت اتجاها متزايدا لعمليات التجسس المدعومة من الصين، على وجه الخصوص، لاستخدام الأجرام السماوية لتغطية مساراتها.
تشبه شبكات ORB هذه إلى حد ما شبكات الروبوتات ويمكن أن تتكون من خوادم افتراضية خاصة (VPS)، بالإضافة إلى أجهزة إنترنت الأشياء (IoT) المخترقة وأجهزة التوجيه غير الآمنة. هذا المزيج يجعل من الصعب على المدافعين تتبع الهجمات لأن هذه المجموعات يمكنها إخفاء حركة المرور بين البنية التحتية للقيادة والسيطرة وأهدافها النهائية.
وقال مايكل راجي، إن شبكات ORB هي إحدى الابتكارات الرئيسية في مجال التجسس الإلكتروني الصيني والتي تشكل تحديًا للمدافعين. Mandiant المحلل الرئيسي في Google Cloud.
وقال: “إنها مثل المتاهة التي يتم إعادة تشكيلها باستمرار، حيث يختفي المدخل والمخرج من المتاهة كل 60 إلى 90 يومًا”. “لاستهداف شخص ما، قد يكون هؤلاء الممثلون قادمين من جهاز توجيه منزلي في الشارع مباشرةً. ليس من غير المعتاد أن يتورط جهاز التوجيه المنزلي الخاص بشخص غير مقصود تمامًا في عمل من أعمال التجسس.
غالبًا ما يتم إنشاء هذه الشبكات عن طريق استئجار VPS واستخدام البرامج الضارة المصممة لاستهداف أجهزة التوجيه لزيادة عدد الأجهزة القادرة على نقل حركة المرور. نظرًا لأن تركيبة هذه الشبكات تتغير بسرعة، فإن استخدام شبكة ORB يجعل من الصعب اكتشاف الهجمات وربطها بمجموعة معينة من حيث الإسناد.
وهذا يجعل المؤشرات الكلاسيكية للاختراق (IOC) – التفاصيل التقنية والقرائن المشتركة بشكل شائع حول الهجمات – أقل فائدة لأن هذه المجموعات سوف تتنقل بانتظام عبر البنية التحتية للشبكة.
وقال مانديانت إن حجم هذه الشبكات يعني أنه يمكن للمهاجمين استغلال الأجهزة التي تتمتع بقرب جغرافي سهل من المؤسسات المستهدفة. وهذا يسمح لحركة المرور الضارة الخاصة بهم بالاندماج عند مراجعتها من قبل المحللين.
وقال تقرير مانديانت: “أحد الأمثلة على ذلك هو حركة المرور من مزود خدمة الإنترنت السكني الموجود في نفس الموقع الجغرافي للهدف الذي يستخدمه الموظفون بانتظام وسيكون من غير المرجح أن يتم التقاطه للمراجعة اليدوية”.
ونتيجة لذلك، قالت شركة الأمن، يجب على فرق الأمن في المؤسسة أن تغير تفكيرها. وهذا يعني أنه بدلاً من التعامل مع شبكات ORB باعتبارها مجرد جزء من البنية التحتية التي يستخدمها المهاجمون، يجب عليهم تتبع ORBs “مثل الكيانات المتطورة المشابهة لـ APT”. [advanced persistent threat] مجموعات”.
شبكات ORB ليست اختراعًا جديدًا، وقد تم استخدامها بانتظام كجزء من حملات التجسس لإخفاء هوية المهاجم ومكان وجوده. لكن مانديانت قال إن استخدام هذه الشبكات من قبل جهات تجسس مدعومة من الصين أصبح أكثر شيوعا خلال السنوات الأخيرة.
هذه الأجرام السماوية هي شبكات بنية تحتية يديرها مقاولون أو آخرون داخل الصين. ولا تخضع لسيطرة مجموعة تجسس أو قرصنة واحدة تابعة لـ APT، ولكن يتم مشاركتها فيما بينها، وهو ما قال مانديانت إنه يعني أن العديد من الجهات الفاعلة في APT ستستخدم شبكات ORB لتنفيذ عمليات التجسس والاستطلاع المميزة الخاصة بها.
غالبًا ما تتغير هذه البنية التحتية – يمكن أن يصل عمر عنوان IPv4 المرتبط بعقدة ORB إلى 31 يومًا. وقال مانديانت إن الفرق التنافسي بين مقاولي شبكة ORB في الصين يبدو أنه يتمثل في قدرتهم على تدوير نسب كبيرة من البنية التحتية المخترقة أو المؤجرة على أساس شهري.
وهذا يعني أن مجرد حظر البنية التحتية المرتبطة بشبكة ORB في وقت معين لن يكون فعالاً كما كان الحال في السابق. وقال مانديانت: “نتيجة لذلك، يتسارع انقراض اللجنة الأولمبية الدولية ويتناقص العمر الافتراضي لمؤشرات الشبكة”.
“قد يكون من الممكن الآن التعرف على البنية التحتية أو جهاز التوجيه المخترق الذي يتصل ببيئة الضحية من خلال شبكة ORB معينة، في حين قد يكون الفاعل الذي يستخدم شبكة ORB لتنفيذ الهجوم غير واضح ويتطلب التحقيق في الأدوات والتكتيكات المعقدة التي تمت ملاحظتها كجزء من وقال التقرير إنه تدخل.
وأضاف جون هولتكويست، كبير محللي شركة Mandiant في Google Cloud: “كان التجسس الإلكتروني الصيني في السابق صاخبًا ويمكن تتبعه بسهولة. هذا نوع جديد من الخصوم.”
عادةً ما يتم توزيع العقد الموجودة في شبكة ORB عالميًا. تقدم شركة Mandiant مثالاً على شبكة تتبعها باسم ORB3 أو Spacehop، والتي وصفتها بأنها شبكة نشطة للغاية تستخدمها مجموعات متعددة مدعومة من الصين.
ويستخدم خادم ترحيل مستضافًا في هونغ كونغ أو الصين بواسطة موفري الخدمات السحابية، في حين أن عقد الترحيل غالبًا ما تكون مستنسخة من الصور المستندة إلى Linux، والتي تُستخدم لتفويض حركة مرور الشبكة الضارة عبر الشبكة إلى عقدة خروج تتواصل مع بيئات الضحية المستهدفة.
وقال مانديانت إنه من الملحوظ أن هذه الشبكة لديها “حجم قوي” من العقد في أوروبا والشرق الأوسط والولايات المتحدة – وكلها مناطق مستهدفة من قبل APT15 وATP5 المدعومين من الصين.
في المقابل، هناك شبكة أخرى يتتبعها Mandiant (تُعرف باسم ORB2 أو Florahox) تتميز أيضًا بأجهزة توجيه الشبكة وأجهزة IOT المخترقة. يبدو أن الشبكة تحتوي على عدة شبكات فرعية مكونة من أجهزة مخترقة تم تجنيدها بواسطة جهاز التوجيه المزروع المعروف باسم Flowerwater.
قال مانديانت إن كل هذا يخلق مشكلة للمدافعين، لأنه بدلاً من مجرد حظر البنية التحتية المرتبطة بالمهاجمين، يتعين عليهم الآن التفكير في البنية التحتية التي تعد جزءًا من شبكة ORB في الوقت الحالي، وإلى متى، ومن يستخدم شبكة ORB.
وأضاف مانديانت أن أفضل طريقة للتعامل مع التحدي الذي تمثله شبكات ORB هو التوقف عن تتبع البنية التحتية لقيادة ومراقبة التجسس كمؤشر خامل للتسوية والبدء في تتبعها ككيان في حد ذاته.
“بدلاً من ذلك، تعد البنية التحتية قطعة أثرية حية لشبكة ORB التي تعد كيانًا متميزًا ومتطورًا حيث يمكن تتبع خصائص البنية التحتية لـ IP نفسها، بما في ذلك المنافذ والخدمات وبيانات التسجيل/الاستضافة، كسلوك متطور من قبل مسؤول الخصم المسؤول عن وقال مانديانت: “إن شبكة ORB تلك”.
وحذرت من أن صعود صناعة ORB في الصين يشير إلى استثمارات طويلة الأجل في تجهيز العمليات السيبرانية المدعومة من الصين بتكتيكات وأدوات أكثر تطوراً.
وقال مانديانت: “إن ما إذا كان المدافعون سيرتفعون إلى مستوى هذا التحدي يعتمد على تطبيق الشركات لنفس التركيز التكتيكي العميق لتتبع شبكات ORB كما حدث مع التهديدات المستمرة المتقدمة على مدار الخمسة عشر عامًا الماضية”.
