أصدرت كل من “المركز الكندي للأمن السيبراني” ومكتب التحقيقات الفيدرالي الأمريكي (FBI) تحذيراً مشتركاً بشأن هجمات إلكترونية تُنفذها مجموعة “Salt Typhoon” المرتبطة بالصين، تستهدف مزودي خدمات الاتصالات العالمية، في إطار حملة تجسس إلكتروني مستمرة.
وبحسب ما نقلته منصة The Hacker News، استغل المهاجمون ثغرة أمنية خطيرة في برنامج Cisco IOS XE (المعرّفة بـ CVE-2023-20198، بتقييم خطورة 10.0) لاختراق ثلاثة أجهزة شبكات تابعة لشركة اتصالات كندية في منتصف فبراير 2025، دون الكشف عن اسم الشركة المستهدفة.
كما كشفت التحقيقات أن المهاجمين قاموا بتعديل أحد ملفات التكوين على الأقل لإعداد نفق “Generic Routing Encapsulation (GRE)”، ما مكّنهم من جمع بيانات حركة المرور من الشبكة المستهدفة.
توسع الهجمات يتجاوز قطاع الاتصالات
رغم تركيز الهجمات على قطاع الاتصالات، رجّحت السلطات أن أنشطة التهديد تمتد لما هو أبعد، حيث تُمكّن السيطرة على أجهزة الشبكات الكندية من جمع معلومات إضافية واستخدامها كنقطة انطلاق لاختراق أجهزة أخرى.
وأضاف التحذير: «في بعض الحالات، نُرجّح أن أنشطة التهديد كانت تقتصر على استطلاع الشبكات فقط».
وأكدت السلطات أن أجهزة الشبكات الطرفية ما تزال هدفاً جذاباً لجهات التهديد المدعومة من الدولة الصينية، خاصة تلك الساعية لاختراق شركات الاتصالات والحفاظ على وصول دائم للشبكات.
الهجمات تتسع عالمياً
تتماشى هذه النتائج مع تقرير سابق لشركة Recorded Future، كشف عن استغلال الثغرتين CVE-2023-20198 وCVE-2023-20273 لاختراق شركات اتصالات وإنترنت في الولايات المتحدة، وجنوب أفريقيا، وإيطاليا، مع استخدام الأنفاق الافتراضية GRE للحفاظ على الوصول طويل الأمد وسرقة البيانات.
برمجيات خبيثة جديدة تستهدف أجهزة Fortinet
بالتزامن مع هذه التطورات، كشف “المركز الوطني للأمن السيبراني” البريطاني (NCSC) عن اكتشاف عائلتين جديدتين من البرمجيات الخبيثة، أُطلق عليهما SHOE RACK وUMBRELLA STAND، تستهدفان أجهزة الجدار الناري FortiGate 100D التابعة لشركة Fortinet.
ويُعد SHOE RACK أداة تُستخدم بعد تنفيذ الهجوم الأولي، تتيح الوصول إلى الأوامر عن بُعد وإنشاء أنفاق TCP من خلال الجهاز المخترق. أما UMBRELLA STAND، فهي برمجية تُنفذ أوامر صادرة من خادم يتحكم فيه المهاجم.
ارتباط محتمل بجهات صينية أخرى
اللافت أن برمجية SHOE RACK تعتمد جزئياً على أداة مفتوحة المصدر تُسمى reverse_shell، والتي أعادت مجموعة تهديد صينية تُدعى PurpleHaze استخدامها لتطوير برمجية خبيثة خاصة بنظام Windows تُعرف باسم GoReShell. ورغم عدم وجود تأكيد رسمي، إلا أن السلطات لم تستبعد ارتباط هذه الأنشطة ببعضها البعض.
وأشار NCSC إلى أوجه تشابه بين برمجية UMBRELLA STAND وبرمجية COATHANGER، وهي باب خلفي سبق أن استخدمته جهات مدعومة من الحكومة الصينية في هجوم سيبراني استهدف شبكة القوات المسلحة الهولندية.
