لسنوات عديدة، كانت الحقيقة المزعجة في صناعة الأمن السيبراني هي أن أجهزة أمان الشبكات التي يتم بيعها لحماية العملاء من الجواسيس ومجرمي الإنترنت هي في حد ذاتها غالبًا الآلات التي يخترقها هؤلاء المتسللون للوصول إلى أهدافهم. مرارًا وتكرارًا، أصبحت نقاط الضعف في الأجهزة “المحيطية” مثل جدران الحماية وأجهزة VPN موطئ قدم للمتسللين المتطورين الذين يحاولون اقتحام الأنظمة ذاتها التي صُممت تلك الأجهزة لحمايتها.
الآن يكشف أحد موردي الأمن السيبراني عن مدى كثافة المعركة التي خاضتها -وإلى متى- مع مجموعة من المتسللين الذين سعوا إلى استغلال منتجاتها لمصلحتهم الخاصة. لأكثر من خمس سنوات، انخرطت شركة سوفوس للأمن السيبراني في المملكة المتحدة في لعبة القط والفأر مع فريق واحد من الخصوم الذين استهدفوا جدران الحماية الخاصة بها. وذهبت الشركة إلى حد تعقب ومراقبة الأجهزة المحددة التي كان المتسللون يختبرون تقنيات الاختراق عليها، ومراقبة المتسللين في العمل، وفي النهاية تتبع جهود الاستغلال المركزة التي استمرت لسنوات إلى شبكة واحدة من الباحثين في مجال الثغرات الأمنية في تشنغدو. الصين.
وفي يوم الخميس، قامت سوفوس بتأريخ تلك الحرب التي استمرت نصف عقد مع هؤلاء المتسللين الصينيين في تقرير يشرح بالتفصيل تصعيدها المتبادل. وذهبت الشركة إلى حد تركيب “برامج مزروعة” خاصة بها على أجهزة سوفوس الخاصة بالقراصنة الصينيين لرصد واستباق محاولاتهم لاستغلال جدران الحماية الخاصة بها. حتى أن باحثي سوفوس حصلوا في نهاية المطاف من أجهزة اختبار المتسللين على عينة من البرامج الضارة “bootkit” المصممة للاختباء بشكل لا يمكن اكتشافه في التعليمات البرمجية منخفضة المستوى لجدران الحماية المستخدمة لتشغيل الأجهزة، وهي خدعة لم يسبق لها مثيل في الواقع.
وفي هذه العملية، حدد محللو سوفوس سلسلة من حملات القرصنة التي بدأت بالاستغلال الجماعي العشوائي لمنتجاتها، ولكنها أصبحت في نهاية المطاف أكثر سرية واستهدافًا، حيث ضربت موردي الطاقة النووية والجهات التنظيمية، والأهداف العسكرية بما في ذلك المستشفى العسكري، والاتصالات، والحكومة ووكالات الاستخبارات. ومطار العاصمة الوطنية الواحدة. وفي حين أن معظم الأهداف – التي رفضت سوفوس تحديدها بمزيد من التفصيل – كانت في جنوب وجنوب شرق آسيا، إلا أن عددًا أقل كان موجودًا في أوروبا والشرق الأوسط والولايات المتحدة.
ويربط تقرير سوفوس حملات القرصنة المتعددة تلك – بمستويات متفاوتة من الثقة – بمجموعات القرصنة التي ترعاها الدولة الصينية بما في ذلك تلك المعروفة باسم APT41، وAPT31، وVolt Typhoon، والأخيرة عبارة عن فريق عدواني بشكل خاص سعى إلى القدرة على تعطيل البنية التحتية الحيوية في الولايات المتحدة، بما في ذلك شبكات الطاقة. لكن القاسم المشترك بين تلك الجهود المبذولة لاختراق أجهزة سوفوس، كما تقول الشركة، ليس إحدى مجموعات المتسللين التي تم تحديدها مسبقًا، بل شبكة أوسع من الباحثين الذين يبدو أنهم طوروا تقنيات القرصنة وقدموها للحكومة الصينية. ويربط محللو سوفوس استغلال التطوير بمعهد أكاديمي ومقاول، في مدينة تشنغدو: شركة Sichuan Silence Information Technology – وهي شركة كانت تربطها سابقًا شركة Meta بجهود التضليل التي تديرها الدولة الصينية – وجامعة العلوم والتكنولوجيا الإلكترونية في الصين.
تقول سوفوس إنها تحكي هذه القصة الآن ليس فقط لمشاركة لمحة عن خط أنابيب الصين لأبحاث القرصنة والتطوير، ولكن أيضًا لكسر الصمت المحرج لصناعة الأمن السيبراني حول القضية الأكبر المتمثلة في نقاط الضعف في الأجهزة الأمنية التي تعمل كنقاط دخول للقراصنة. في العام الماضي فقط، على سبيل المثال، تم استغلال العيوب في المنتجات الأمنية من البائعين الآخرين بما في ذلك Ivanti وFortinet وCisco وPalo Alto في عمليات قرصنة جماعية أو حملات تطفل مستهدفة. “لقد أصبح هذا سرًا مفتوحًا إلى حد ما. يفهم الناس أن هذا يحدث، ولكن لسوء الحظ الجميع كذلك أَزِيز،يقول روس ماكيرتشار، كبير مسؤولي أمن المعلومات في شركة سوفوس، وهو يقلد سحب السحاب عبر شفتيه. “نحن نتبع نهجا مختلفا، ونحاول أن نكون شفافين للغاية، لمعالجة هذا الأمر بشكل مباشر ومواجهة خصمنا في ساحة المعركة.”
من عرض مخترق إلى موجات من الاختراق الجماعي
وكما تقول سوفوس، فإن معركة الشركة الطويلة مع المتسللين الصينيين بدأت في عام 2018 باختراق سوفوس نفسها. واكتشفت الشركة إصابة ببرامج ضارة على جهاز كمبيوتر يشغل شاشة عرض في مكتب أحمد أباد التابع لشركة Cyberoam التابعة لها ومقرها الهند. وقد جذبت البرامج الضارة انتباه سوفوس بسبب مسحها الصاخب للشبكة. ولكن عندما نظر محللو الشركة عن كثب، وجدوا أن المتسللين الذين يقفون وراءها قد قاموا بالفعل باختراق أجهزة أخرى على شبكة Cyberoam باستخدام برنامج rootkit أكثر تطوراً حددوه باسم CloudSnooper. في وقت لاحق، تعتقد الشركة أن الاختراق الأولي كان مصممًا للحصول على معلومات استخباراتية حول منتجات سوفوس التي من شأنها أن تمكن من شن هجمات لاحقة على عملائها.
ثم في ربيع عام 2020، بدأت سوفوس في التعرف على حملة واسعة من الإصابات العشوائية لعشرات الآلاف من جدران الحماية حول العالم في محاولة واضحة لتثبيت حصان طروادة يسمى Asnarök وإنشاء ما يطلق عليه “صناديق الترحيل التشغيلية” أو ORBs – في الأساس عبارة عن شبكة روبوتية من الأجهزة المخترقة التي يمكن للمتسللين استخدامها كنقاط انطلاق لعمليات أخرى. كانت الحملة تتمتع بموارد جيدة بشكل مدهش، حيث استغلت العديد من ثغرات يوم الصفر التي يبدو أن المتسللين اكتشفوها في أجهزة Sophos. فقط خطأ في محاولات تنظيف البرامج الضارة على جزء صغير من الأجهزة المتضررة سمح لشركة Sophos بتحليل عمليات الاقتحام والبدء في دراسة المتسللين الذين يستهدفون منتجاتها.