تقرير: شكوك حول تجسس قراصنة صينيين على عملاء سريين أمريكيين

استغلّ مجموعة من القراصنة ثغرة أمنية “يوم الصفر” في برنامج Versa Director—المستخدم من قبل عدد من مزودي خدمات الإنترنت (ISPs) لتأمين عمليات الشبكة الخاصة بهم—وتمكنوا من اختراق عدة شركات إنترنت في الولايات المتحدة وخارجها، وفقًا لمختبرات Black Lotus، ذراع الأبحاث والعمليات في Lumen Technologies.

تورط الصين المحتمل

تعتقد Lumen أن الهجمات قد تكون مصدرها الصين.

وقال Lumen: “استنادًا إلى التكتيكات والأساليب المعروفة والملاحظة، تعزو مختبرات Black Lotus استغلال ثغرة CVE-2024-39717 واستخدام إصدار الويب VersaMem بثقة معتدلة إلى جهات تهديد برعاية الدولة الصينية المعروفة باسم Volt Typhoon و Bronze Silhouette”.

الضحايا المستهدفون

حددت أبحاث Lumen أربعة ضحايا في الولايات المتحدة وضحية واحدة في الخارج. وفقًا لصحيفة Washington Post، “يُعتقد أن الأهداف تشمل حكوميين وعسكريين يعملون تحت غطاء ومجموعات ذات أهمية استراتيجية للصين.”

نفي الصين

نفت الصين مثل هذه الادعاءات. وقال المتحدث باسم السفارة الصينية ليو بينغيو لصحيفة Washington Post: “‘Volt Typhoon’ هو في الواقع مجموعة من مجرمي الإنترنت تستخدم برنامج الفدية وتسمي نفسها ‘Dark Power’ وليست مدعومة من أي دولة أو منطقة”. وشارك نفس البيان لين جيان، المتحدث باسم وزارة الخارجية الصينية، في 15 أبريل مع صحيفة Global Times.

استمرار الاستغلال

وفقًا للباحثين، “من المحتمل أن يستمر الاستغلال ضد أنظمة Versa Director غير المحدثة.”

أظهرت النتائج أن Volt Typhoon استخدموا قشرة ويب متخصصة تسمى “VersaMem” لالتقاط تفاصيل تسجيل الدخول للمستخدم. يعمل VersaMem، وهو جزء معقد من البرمجيات الخبيثة، عن طريق الارتباط بالعمليات المختلفة ومعالجة كود Java للخوادم الضعيفة. ويعمل بالكامل في الذاكرة، مما يجعله صعب الاكتشاف بشكل خاص.

الأهداف الرئيسية

استهدف الاستغلال خوادم Versa Director. وغالبًا ما تُستخدم هذه الخوادم من قبل مزودي خدمات الإنترنت ومقدمي الخدمات المدارة، مما يجعلها هدفًا جاذبًا لجهات التهديد التي تسعى إلى توسيع نطاقها من خلال إعدادات إدارة الشبكة المؤسسية.

أقرت شركة Versa Networks بالثغرة الأمنية يوم الاثنين، مؤكدة أنها استُغلّت “في حالة واحدة على الأقل معروفة”.

تاريخ وتفاصيل الاستغلال

قالت شركة Lumen إن قشرة الويب VersaMem تم تحميلها لأول مرة على مجمع البرامج الضارة VirusTotal في 7 يونيو، قبل أيام قليلة من أول استغلال ملاحظ. تم تجميع البرامج الضارة باستخدام Apache Maven، مع اكتشاف تعليقات في الشيفرة بكتابة صينية. اعتبارًا من منتصف أغسطس، لم يتم اكتشافها من قبل برامج مكافحة الفيروسات.

تحسين الدفاعات السيبرانية

براندون ويلز، المدير التنفيذي السابق لوكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA)، أشار مؤخرًا في مقابلة مع The Record أن القراصنة الصينيين قد حسنوا قدراتهم لاستهداف المنشآت الحيوية الأمريكية وأكد الحاجة إلى زيادة الاستثمار في الأمن السيبراني.

وقال في مقابلة: “تواصل الصين استهداف البنية التحتية الحيوية في الولايات المتحدة. ومن الواضح أن كشف جهود Volt Typhoon أدى إلى تغييرات في التكتيكات والتقنيات التي يستخدمونها، لكننا نعلم أنهم يواصلون محاولاتهم اليومية لاختراق البنية التحتية الحيوية للولايات المتحدة”.

توصيات التحديث

شددت شركة الأمن السيبراني على خطورة الثغرة الأمنية وتطور المهاجمين. بينما أكدت مختبرات Black Lotus على ضرورة أن أي عملية تعتمد على Versa Director لتحديث البرنامج “إلى الإصدار 22.1.4 أو أحدث.”