الصين تضرب من جديد.. مجموعة قراصنة تخترق شبكات الاتصالات الحكومية في الشرق الأوسط وآسيا

كشفت أبحاث أمنية حديثة صادرة عن مختبرات شركة Rapid7 الأمريكية للأمن السيبراني، عن حملة تجسس إلكتروني طويلة الأمد تنفذها مجموعة “Red Menshen” المرتبطة بالاستخبارات الصينية، استهدفت شبكات اتصالات حكومية في منطقة الشرق الأوسط وآسيا منذ عام 2021 على الأقل .

وأوضحت التقارير أن المجموعة تمكنت من زرع آليات وصول خفية داخل بيئات شبكات الاتصالات، مستخدمة أدوات متطورة صعبة الاكتشاف، في حملة وُصفت بأنها تمثل “خلايا نائمة رقمية” ضمن البنية التحتية الحيوية للاتصالات .

أبرز تفاصيل الهجمة:

· استخدام الباب الخلفي BPFDoor: يعمل هذا الباب الخلفي على مستوى نواة نظام Linux، مما يجعله غير قابل للاكتشاف بواسطة أدوات المراقبة التقليدية .
· آلية عمل صامتة: لا يفتح هذا الباب الخلفي منافذ اتصال واضحة، ولا توجد لديه قنوات اتصال ظاهرة مع خوادم التحكم. يتم تفعيله فقط عند استقبال “حزمة سحرية” محددة، مما يجعله متخفيًا تمامًا في الظروف الطبيعية .
· نقاط الاختراق الأولية: يبدأ الاختراق عبر استهداف الأجهزة المواجهة للإنترنت، مثل أجهزة VPN وجدران الحماية من شركات مثل Ivanti وCisco وFortinet وPalo Alto Networks .
· أدوات متطورة: بعد الاختراق، يتم تنزيل أدوات مثل CrossC2 وSliver وTinyShell، بهدف سرقة كلمات المرور والتنقل الأفقي داخل الشبكات المخترقة .
· تطور خطير في النسخ الجديدة: أصبحت المحفزات (Trigger) تُخفى داخل حركة HTTPS المشفرة، كما تم استخدام بروتوكول ICMP للاتصال بين الأجهزة المصابة، مما يصعب عملية الكشف بشكل كبير .

خطورة استهداف قطاع الاتصالات:

يكمن الخطر الأكبر في أن هذا الباب الخلفي (BPFDoor) أصبح جزءً من نظام التشغيل نفسه، ما يجعله غير مرئي لبرامج مكافحة الفيروسات التقليدية .
كما أن المجموعة تستطيع عبر هذه الأدوات مراقبة بروتوكولات الاتصالات الخاصة (مثل SCTP)، وتحديد مواقع المشتركين، وتتبع أشخاص محددين، مما يشكل اختراقًا خطيراً للبيانات والخصوصية .

ورداً على ذلك أصدرت شركة Rapid7 أداة كشف مجانية لمساعدة المؤسسات في تحديد هذه الاختراقات، محذرة من أن هذه التقنيات تمثل تطوراً في أساليب التجسس الإلكتروني، حيث ينتقل المخترقون من الهجمات السطحية إلى الزرع العميق داخل النواة والبنية التحتية .