استخدم القراصنة الصينيون المعروفون بمجموعة APT31 سلالة جديدة من البرامج الضارة لتنفيذ موجة هجمات الكترونية استهدفت كيانات عديدة في منغوليا وبيلاروسيا وكندا والولايات المتحدة، وروسيا أيضاً للمرة الأولى.
ووجد الخبراء الأمنيون العديد من أوجه التشابه بين البرنامج الضار الجديد وبرنامج DropboxAES RAT الذي اكتشفه الباحثون سابقاً، والذي تم نسبه أيضاً إلى مجموعة APT31. ويفيد الخبراء عن وجود اختلافات طفيفة فقط بين البرنامجين الخبيثين.
ويرى المحللون أن الإصدارات الجديدة من البرامج الضارة التي استخدمتها APT31 في الهجمات من يناير إلى يوليو من هذا العام، تعمل على توسيع الرقعة الجغرافية للهجمات لتشمل بلدان أخرى. ويمكن اكتشاف نشاط متزايد في روسيا على وجه الخصوص، فيما يتوقع الخبراء ازدياد أعداد الهجمات الالكترونية ضد الكيانات الروسية.
من هم القراصنة الصينيون ؟
مجموعة APT31 المعروفة أيضاً باسم Zirconium، هي مجموعة من القراصنة المرتبطين بالصين، شاركت في العديد من عمليات التجسس الإلكتروني حول العالم. تصدرت عناوين الصحف مؤخراً بعد أن اكتشف فريق Check Point Research أن المجموعة استخدمت أداة اختراق أطلق عليها اسم Jian، قبل سنوات عديدة من تسريبها عبر الإنترنت من قبل قراصنة Shadow Brokers.
في سياق متصل، حذرت وكالة الأمن السيبراني الوطنية الفرنسية ANSSI في يوليو 2021 من الهجمات الالكترونية المستمرة ضد عدد كبير من الشركات والمؤسسات الفرنسية، والتي تقوم بها مجموعة التجسس الإلكتروني APT31 المرتبطة بالصين.
إذ يقوم المتسللون الذين ترعاهم الدولة باختطاف أجهزة التوجيه المنزلية routers بهدف إنشاء شبكة من الأجهزة المخترقة قادرة على إخفاء البنية التحتية للهجوم. وتضمن التنبيه الذي نشرته الوكالة الفرنسية قائمة تضم 161 عنوان IP مرتبطاً بالأجهزة المختطفة التي شاركت في الهجوم.
تجدر الإشارة إلى أن سلسلة الهجمات الالكترونية انطلقت في بداية عام 2021 وما زالت مستمرة حتى الآن، وأن التقنية المستخدمة في الهجمات ضد الكيانات الفرنسية تسمح بإخفاء المصدر الفعلي للمهاجمين.
وأفاد الباحثون أن المهاجمين استخدموا البرنامج الضار الجديد في نحو 10 هجمات استهدفت الدول المذكورة أعلاه مؤخراً، بين يناير ويوليو 2021.
سلالة جديدة من البرامج الضارة
استخدم APT31 قطارة جديدة تستفيد من التحميل الجانبي لملف DLL لتنفيذ الهجوم الضار على الجهاز المستهدف. تتمثل الوظيفة الرئيسية للقطارة بإنشاء ملفين على الجهاز المصاب: مكتبة ضارة وتطبيق عرضة لتحميل DLL Sideloading، وذلك قبل أن يتم تشغيل هذا التطبيق. ويتم دائماً إنشاء كلا الملفين على نفس المسار C:\ProgramData\Apacha.
لاحقاً، يقوم التطبيق الذي يتم تشغيله بواسطة القطارة بتحميل المكتبة الضارة واستدعاء إحدى وظائفها. وهنا يبدأ التسلل نحو قرصنة الأجهزة والسيطرة عليها.
ومن أجل تجنب الاكتشاف، قام المهاجمون بالتوقيع على أداة القطارة المستخدمة في بعض الهجمات، عبر استخدام توقيع رقمي صالح تم سرقته على الأرجح.
تسمح البرامج الضارة المستخدمة في هذه الهجمات للمشغلين بسرقة المعلومات من الأنظمة المصابة، والحصول على معلومات من محركات الأقراص، والبحث عن الملفات والمستندات، وإنشاء عمليات خفية، وتنزيل ملفات من الخوادم التي يسيطرون عليها وإرسال الملفات أيضاً إلى هذه الخوادم، والقدرة على حذف نفسه.