المدعومة من الصين التهديد المستمر المتقدم كان الفاعل (APT) الذي تم تعقبه باسم APT40 مشغولاً بتطوير دليل اللعب الخاص به وقد لوحظ مؤخرًا أنه يستهدف بشكل نشط ضحايا جدد من خلال استغلال الثغرات الأمنية في أجهزة الشبكات في المكاتب الصغيرة والمكاتب المنزلية (SoHo) كنقطة انطلاق لـ القيادة والسيطرة (C2) النشاط أثناء هجماتهم
وجاء ذلك بحسب تنبيه دولي أصدرته وكالات الأمن السيبراني المتحالفة مع تحالف العيون الخمس من أستراليا وكندا ونيوزيلندا والمملكة المتحدة والولايات المتحدة، بالإضافة إلى هيئات شريكة من ألمانيا واليابان وكوريا الجنوبية.
وفقًا لمركز الأمن السيبراني الأسترالي (ACSC)، التي كانت الوكالة الرائدة في التنبيه، استهدفت APT40 بشكل متكرر الشبكات في أستراليا وحول العالم بهذه الطريقة.
وفي دراستين نشرتهما السلطات الأسترالية، استخدمت APT40 أجهزة SoHO المخترقة كبنية أساسية تشغيلية وأجهزة إعادة توجيه “القفزة الأخيرة” أثناء هجماتها، على الرغم من أن أحد تأثيرات القيام بذلك كان جعل نشاطها أسهل إلى حد ما في التوصيف والتتبع.
ووصفت الوكالات أجهزة الشبكات في سوهو بأنها أهداف أسهل بكثير للجهات الخبيثة من نظيراتها من الشركات الكبيرة.
وقال الأستراليون: “إن العديد من أجهزة SoHO هذه انتهت صلاحيتها أو لم يتم إصلاحها وتوفر هدفًا سهلًا للاستغلال في اليوم التالي. وبمجرد اختراقها، توفر أجهزة SoHO نقطة انطلاق للهجمات للاندماج مع حركة المرور المشروعة وتحدي المدافعين عن الشبكة.
“وتستخدم هذه التقنية أيضًا بانتظام من قبل جهات أخرى ترعاها الدولة الصينية في جميع أنحاء العالم، وتعتبر الوكالات التي أعدت هذه البرامج هذا تهديدًا مشتركًا.
وأضافوا أن “APT40 تستخدم أحيانًا البنية التحتية المشتراة أو المستأجرة كبنية تحتية لمواجهة الضحايا في عملياتها؛ ومع ذلك، يبدو أن هذه الحرفة في تراجع نسبي”.
شاركت ACSC تفاصيل عن هجوم إلكتروني واحد من APT40 استجابت له في أغسطس 2022، حيث تفاعل عنوان IP ضار يُعتقد أنه تابع للمجموعة مع شبكة المنظمة المستهدفة على مدار شهرين باستخدام جهاز من المحتمل أن يكون ملكًا لشركة صغيرة أو مستخدم منزلي. تم علاج هذا الهجوم قبل أن تتمكن APT40 من إحداث الكثير من الضرر.
محمد كاظم، باحث أول في استخبارات التهديدات في مع سيكيوروقال: “لا يوجد ما يشير إلى أن وتيرة أو تأثير العمليات السيبرانية التي ترعاها الحكومة الصينية/الدولة قد انخفض… وبدلاً من ذلك، فقد استمروا في صقل وتحسين حرفتهم. لقد أظهروا استعدادهم للتخلي عن الأساليب والأدوات التي لم تعد تعمل لصالح أساليب وأدوات جديدة، ولكن في حين أثبتت أساليبهم وتقنياتهم التقليدية فعاليتها، فقد استمروا بسعادة في استخدامها.
“كما يسلط هذا الاستشارة الضوء على اتجاه مشترك ومتزايد بين الجهات الفاعلة في جمهورية الصين الشعبية في السنوات الأخيرة لاستهداف الأجهزة الطرفية من خلال الاستغلال والاستفادة من الأجهزة المخترقة كجزء من البنية التحتية لشبكاتهم ونشاطهم. ونعتقد أن هذه التقنيات تستخدم عن عمد من قبل هذه الجهات لملاحقة العمليات الأكثر سرية والتي يصعب تتبعها ونسبها، ولكنها تتحدى أيضًا آليات الأمن التقليدية والإشراف عليها،” قال كاظم.
التهديد الجدير بالملاحظة
إن مجموعة APT40 ــ والتي تعرف أيضاً في مختلف مصفوفات الموردين باسم Kryptonite Panda وGingham Typhoon وLeviathan وBronze Mohawk ــ هي مجموعة نشطة للغاية ومن المرجح أن يكون مقرها في مدينة هايكو في مقاطعة هاينان، وهي جزيرة قبالة الساحل الجنوبي للصين، على بعد حوالي 300 ميل غرب هونج كونج. وتتلقى مهمتها من إدارة أمن الدولة في هاينان التابعة لوزارة أمن الدولة الصينية.
من المرجح أن يكون واحدًا من عدد من الهجمات المتقدمة المستمرة المتورطة في سلسلة من الهجمات الإلكترونية في عام 2021 والتي تم تنظيمها عبر التسويات في Microsoft Exchange Server. في يوليو من ذلك العام، وجهت السلطات الأميركية اتهامات إلى أربعة من أعضاء المجموعة حول الهجمات التي تستهدف قطاعات الطيران والدفاع والتعليم والحكومة والرعاية الصحية والأدوية الحيوية والبحرية.
وشهدت هذه الحملة قيام مجموعة APT40 بسرقة الملكية الفكرية الخاصة بالمركبات الغاطسة والمركبات ذاتية القيادة، والصيغ الكيميائية، وخدمة الطائرات التجارية، وتقنية التسلسل الجيني، والأبحاث الخاصة بالأمراض بما في ذلك الإيبولا، وفيروس نقص المناعة البشرية/الإيدز، ومتلازمة الشرق الأوسط التنفسية، والمعلومات لدعم محاولات الفوز بعقود للشركات المملوكة للدولة في الصين.
وتعتبر APT40 تهديدًا جديرًا بالملاحظة بشكل خاص بفضل قدراتها المتقدمة – فهي قادرة على تحويل واستغلال إثباتات المفاهيم (PoCs) للثغرات الأمنية الجديدة بسرعة وتوجيهها ضد الضحايا، ويقوم أعضاء فريقها بإجراء استطلاع منتظم ضد الشبكات ذات الاهتمام بحثًا عن فرص لاستخدامها.
لقد كان مستخدمًا متحمسًا لبعض نقاط الضعف الأكثر انتشارًا وأهمية في السنوات القليلة الماضية، بما في ذلك أمثال Log4j – والواقع أنه لا يزال يحقق النجاح في استغلال بعض الأخطاء التي يعود تاريخها إلى عام 2017.
ويبدو أن المجموعة تفضل استهداف البنية التحتية العامة على التقنيات التي تتطلب تفاعل المستخدم – مثل التصيد عبر البريد الإلكتروني – وتولي قيمة كبيرة للحصول على بيانات اعتماد صالحة لاستخدامها في هجماتها.
التخفيف من اختراق APT40
تتضمن إجراءات التخفيف ذات الأولوية للمدافعين الاحتفاظ بتسجيل محدث وإدارة التصحيحات السريعة وتنفيذ تقسيم الشبكة.
يجب على فرق الأمان أيضًا اتخاذ خطوات لتعطيل خدمات الشبكة أو المنافذ أو جدران الحماية غير المستخدمة أو غير الضرورية، وتنفيذ جدران حماية تطبيقات الويب (WAFs)، وفرض سياسات الحد الأدنى من الامتيازات للحد من الوصول، وفرض المصادقة متعددة العوامل (MFA) على جميع خدمات الوصول عن بُعد التي يمكن الوصول إليها عبر الإنترنت، واستبدال مجموعة أدوات نهاية العمر، ومراجعة التطبيقات المخصصة بحثًا عن وظائف قابلة للاستغلال.
