اتهمت الصين وكالات الاستخبارات الأمريكية بتنفيذ عمليات اختراق إلكتروني استهدفت مؤسسات عسكرية صينية من خلال استغلال ثغرة أمنية في منصة Microsoft Exchange. وذكرت أن الهجوم أسفر عن السيطرة على أكثر من 50 جهازا تابعا لإحدى الجهات العسكرية الكبرى في البلاد، واستمرّ لما يقارب العام الكامل.
وفي تنبيه أمني نُشر يوم الخميس، قالت “الفريق الوطني للاستجابة للطوارئ في الشبكات الصينية” (CNCERT/CC) – وهي جهة تصف نفسها بأنها غير حكومية – إن الهجمات السيبرانية الأمريكية أصبحت أكثر دقة وأشد تمويها، خصوصا تجاه الجامعات ومراكز البحوث والمؤسسات المرتبطة بالصناعات العسكرية الصينية.
وأشار التقرير إلى أن تلك الهجمات “تشكل تهديد خطير لأمن البحث العلمي والإنتاج العسكري في الصين، بل وتمسّ الأمن الوطني ذاته”.
ورغم محاولات صحيفة The Register للحصول على تعليق من وكالة الأمن القومي الأمريكية، فإن الأخيرة لم تُدل بأي تصريح.
يأتي هذا الاتهام في وقتٍ تتكثف فيه التصريحات الغربية ضد أنشطة التجسس الصينية. فقد وجهت شركات أمنية أمريكية، من بينها مايكروسوفت، مؤخرا اتهامات لجهات صينية باستخدام ثغرات في منصة SharePoint لشن هجمات استهدفت سرقة البيانات، كما كشف باحثون في SentinelLabs عن وجود أكثر من اثني عشر براءة اختراع تقدمت بها شركات صينية يُشتبه بارتباطها بمجموعة “إعصار الحرير” (Silk Typhoon) التجسسية.
وفي تفاصيل الهجوم الأول، ذكر تقرير CNCERT/CC أن منفذي العملية اخترقوا خادم بريد إلكتروني تابع لمؤسسة عسكرية صينية كبرى خلال الفترة من يوليو 2022 إلى يوليو 2023. وبحسب التحقيقات، فقد تمكّن المهاجمون من السيطرة على خادم مجال الشبكة الداخلية، مما أتاح لهم التوسع لاحقاً والسيطرة على أكثر من 50 جهازا حساسا داخل بيئة المؤسسة.
وأوضح التقرير أن المهاجمين استخدموا قناة WebSocket ضمن نفق SSH للوصول عن بُعد إلى أحد الخوادم الخارجية، وأقاموا عدة قنوات خفية لسرقة البيانات. كما استُخدمت عناوين IP من دول عدة مثل ألمانيا وفنلندا وكوريا الجنوبية وسنغافورة، لتنفيذ أكثر من 40 هجمة إلكترونية خلال تلك الفترة، طالت رسائل بريد إلكتروني لـ11 شخصا بينهم مسؤولون كبار في المؤسسة.
ووفقا للتقرير، احتوت تلك الرسائل على معلومات دقيقة بشأن تصميم الأنظمة والمعدات العسكرية الصينية.
أما الهجوم الثاني، فقد استهدف مؤسسة صناعية عسكرية تنشط في مجال الاتصالات والإنترنت عبر الأقمار الاصطناعية خلال الفترة من يوليو إلى نوفمبر 2024. وبينت التحقيقات أن المهاجمين استغلوا ثغرات في أنظمة الملفات الإلكترونية عبر عناوين IP من رومانيا وهولندا، ونجحوا في زرع برمجيات خبيثة والتحكم في أكثر من 300 جهاز، مع إجراء عمليات بحث موسعة عن مصطلحات مثل “شبكة عسكرية” و”شبكة أساسية”، تمهيدا لسرقة البيانات ذات الحساسية العالية.
