كشفت شركة الأمن السيبراني “سيغنيا” عن اختراق طويل الأمد نفذته مجموعة تجسس إلكتروني صينية تُعرف باسم “ويفر آنت” (Weaver Ant) داخل شبكة شركة اتصالات كبرى في آسيا، استمر لأكثر من أربع سنوات دون اكتشافه.
استغلال أجهزة التوجيه وسرية عالية
تمكّنت “ويفر آنت” من التسلل إلى الشبكة من خلال استغلال ثغرات أمنية في أجهزة التوجيه المنزلية من سلسلة Zyxel CPE. بعد ذلك، زرعت المجموعة أدوات تحكم عن بُعد تُعرف باسم “web shells” على خوادم الويب التابعة لمزود الخدمة، مما منحها منفذًا خلفيًا للوصول عن بُعد والاستمرار في مراقبة الشبكة وسحب البيانات الحساسة.
وبحسب “سيغنيا”، كانت أدوات web shells متطورة للغاية بحيث تمكنت من تفادي أنظمة الكشف من خلال استخدام كلمات رئيسية مثل “password”، “key”، و”pass” في آليات تحميل البرمجيات الضارة. الكثير من جدران الحماية لتطبيقات الويب تقوم تلقائيًا بإخفاء أو استبعاد هذه القيم من سجلات الشبكة، ما أدى إلى إخفاء المحتوى الفعلي للبرمجيات الضارة وصعوبة اكتشافها.
تكتيكات معقدة لإخفاء النشاط
لم تكتفِ “ويفر آنت” بذلك، بل لجأت إلى إرسال برمجيات ضارة بأحجام تتجاوز الحد الأقصى المسموح به في سجلات جدران الحماية، مما أدى إلى تقطيع السجلات وعدم إمكانية إجراء تحليل جنائي كامل للبيانات المنقولة. وقالت “سيغنيا”: “هذا القيد منع إعادة بناء كاملة للبرمجيات الضارة، مما صعّب التحقيق أكثر.”
اكتشاف العرضي يقود إلى كشف كبير
الاختراق كُشف بالصدفة عندما كانت “سيغنيا” تعمل على معالجة اختراق منفصل داخل نفس شبكة شركة الاتصالات من قبل مجموعة صينية أخرى. أثناء جهود المعالجة، تم تعطيل حساب مستخدم تستخدمه “ويفر آنت” دون قصد. ما لبثت المجموعة أن أعادت تفعيل الحساب يدويًا، وهو ما أثار الشكوك.
أوضحت “سيغنيا”: “أظهر التحقيق أن هذا الحساب كان يستخدم سابقًا من قبل ‘ويفر آنت’، ولفت الانتباه إلى خادم لم يكن مُدرجًا مسبقًا كمخترق، مما استدعى إجراء تحقيق جنائي موسع.”
وبعد ذلك، استخدمت “سيغنيا” آلية مراقبة لفك تشفير حركة المرور القادمة من أدوات web shells التابعة للمجموعة، ليتم كشف عملية تجسس واسعة النطاق تشتمل على آليات استمرارية تم زرعها في عشرات الخوادم.
أدلة على الهوية الصينية للمجموعة
تشير “سيغنيا” إلى أن الأدوات والتقنيات المستخدمة مرتبطة تاريخيًا بمجموعات تجسس إلكتروني صينية. كما أن توقيت النشاط يتوافق مع ساعات العمل الرسمية في التوقيت المحلي للصين، مما يعزز الاتهام.
تهديدات مستمرة من جهات صينية
هذه الحادثة تأتي ضمن سلسلة من الهجمات التي تقودها جهات مدعومة من الصين. على سبيل المثال، كشفت شركة “دراغوس” مؤخرًا عن اختراق منفصل استمر حوالي 300 يوم داخل منشأة خدمية عامة في ولاية ماساتشوستس الأمريكية.
وفي العام الماضي، استهدفت مجموعة يُعتقد أنها صينية تُعرف باسم “Salt Typhoon” تسع شركات اتصالات أمريكية، وركّزت على أفراد ذوي صلة بالنشاط الحكومي والسياسي.
