المملكة المتحدة المركز الوطني للأمن السيبراني اتهم المركز الوطني للأمن الإلكتروني ونظيرته وكالة Five Eyes شركة مقرها الصين تعمل كواجهة للدولة بإدارة شبكة روبوتات ضخمة تضم أكثر من 250 ألف جهاز متصل بالإنترنت، حوالي 8500 منها موجود في المملكة المتحدة.
تشمل الأجهزة المخترقة أدوات الشبكات والأمن الخاصة بالمؤسسات مثل أجهزة التوجيه وجدران الحماية ومنتجات إنترنت الأشياء مثل كاميرات المراقبة وكاميرات الويب. ودون علم أصحابها، يتم استخدامها لتنفيذ هجمات إلكترونية منسقة، بما في ذلك هجمات الحرمان من الخدمة الموزعة (DDoS) وتسليم البرامج الضارة.
“شبكة بوت نت وقال مدير العمليات في المركز الوطني للأمن الإلكتروني بول تشيتشيستر: “تمثل عمليات المركز تهديدًا كبيرًا للمملكة المتحدة من خلال استغلال نقاط الضعف في الأجهزة المتصلة بالإنترنت يوميًا مع إمكانية تنفيذ هجمات إلكترونية واسعة النطاق”.
“في حين يتم استخدام غالبية شبكات الروبوتات لتنفيذ هجمات الحرمان من الخدمة الموزعة (DDoS) المنسقة، فإننا نعلم أن بعضها لديه القدرة أيضًا على سرقة معلومات حساسة.
“ولهذا السبب، يشجع المركز الوطني للأمن السيبراني، إلى جانب شركائنا في بلدان Five Eyes، المنظمات والأفراد بقوة على التصرف وفقًا للإرشادات الواردة في هذه الاستشارة – والتي تتضمن تطبيق التحديثات على الأجهزة المتصلة بالإنترنت – للمساعدة في منع أجهزتهم من الانضمام إلى شبكة روبوتية.”
وتتمركز الشركة المعنية، وهي Integrity Technology Group، في بكين، ويبدو أنها تعمل على تقديم خدمات أمن الشبكات كمزود شرعي.
ومع ذلك، وفقًا للإرشادات المشتركة، والتي يمكن قراءتها كاملة هناكما استخدمت الشركة خبراتها في خدمة الحكومة الصينية – ومن المعروف أن عناوين IP الخاصة بشركة China Unicom في مقاطعة بكين التابعة لشركة Integrity قد تم استخدامها للوصول إلى البنية التحتية التشغيلية الأخرى المستخدمة في الهجمات الإلكترونية على الضحايا في الولايات المتحدة.
وبحسب السلطات، فقد تعامل مكتب التحقيقات الفيدرالي مع عدد من هؤلاء الضحايا واكتشف نشاطًا يتوافق مع التكتيكات والتقنيات والإجراءات (TTPs) التي يفضلها فاعل التهديد المستمر المتقدم (APT) المدعوم من الدولة والذي يتم تعقبه باسم Flax Typhoon، ولكن يُعرف أيضًا باسم RedJuliett و Ethereal Panda، من بين أشياء أخرى.
تستخدم شبكتها الروبوتية برنامج ميراي الخبيث سيئ السمعة تستهدف عائلة الفيروسات هذه الأجهزة من خلال عدد من الثغرات الأمنية والتعرضات الشائعة (CVEs) المعلنة.
بمجرد تنزيل حمولة ميراي وتنفيذها، تبدأ العمليات على الجهاز لإنشاء اتصال مع البنية الأساسية للتحكم والقيادة (C2) الخاصة بشركة Integrity باستخدام أمان طبقة النقل (TLS) عبر المنفذ 443. كما تجمع وتستخرج معلومات النظام بما في ذلك إصدارات نظام التشغيل وتفاصيل الذاكرة والنطاق الترددي لأغراض العد. كما ترسل طلبات إلى “c.speedtest.net” لجمع تفاصيل إضافية عن اتصال الإنترنت. بالإضافة إلى ذلك، وجد التحقيق أن بعض حمولات ميراي تحذف نفسها لتجنب اكتشافها.
وفي الوقت نفسه، تقوم شركة Integrity بتشغيل طبقة من خوادم الإدارة عبر منفذ TCP 34125 لتشغيل البنية الأساسية C2 لشبكة الروبوتات. وتستضيف الخوادم قاعدة بيانات MySQL تحتوي على معلومات حول الأجهزة المخترقة، والتي يُعتقد أنها تحتوي حتى يونيو/حزيران من هذا العام على أكثر من 1.2 مليون سجل. كما تستضيف الخوادم تطبيقًا يُعرف باسم “Sparrow” للتفاعل مع شبكة الروبوتات – يتم تخزين كود هذا التطبيق في مستودع Git ويحدد وظائف مختلفة تمكن المستخدمين من إرسال أوامر المهام والاستغلال إلى الأجهزة المخترقة، من بين أشياء أخرى. يمكن لـ “Sparrow” أيضًا توفير معلومات حول نقاط ضعف الجهاز للمستخدمين، ومكون فرعي يسمى “ترسانة الثغرات” يسمح لهم باستغلال الشبكات التقليدية عبر الأجهزة الضحية.
مزيد من التفاصيل حول نشاط Integrity، بما في ذلك إرشادات التخفيف، يمكن العثور عليها في الاستشارة الكاملة.
