ماذا حدث
رصد فريق استخبارات التهديدات في غوغل (GTIG) حملة تجسس إلكترونية ممتدة نسبها بثقة عالية إلى مجموعة تتبعها تحت مسمى UNC6508، وهي جهة تهديد مرتبطة بالصين. استهدفت الحملة مؤسسات طبية سريرية ومراكز أكاديمية ومؤسسات صحية عسكرية ومنظمات مناصرة وجهات تنظيمية صحية في الولايات المتحدة وكندا، وامتدت من سبتمبر 2023 حتى نوفمبر 2025.
أفاد غوغل بأنه أبلغ المؤسسات المتضررة وعطّل البنية التحتية التشغيلية للمجموعة، مع الإشارة إلى أن UNC6508 والبرمجية الخلفية المرتبطة بها ليستا أسماء جديدة، إذ سبق الكشف عنهما في فبراير الماضي ضمن تقرير أشمل عن هجمات حكومية استهدفت قطاع الدفاع.
التفاصيل
**نقطة الدخول: خوادم REDCap**
استغل المهاجمون منصة REDCap (نظام التقاط البيانات الإلكترونية للأبحاث)، وهي منصة ويب تستخدمها المستشفيات والجامعات لإنشاء قواعد بيانات الدراسات وإدارتها. اخترقت UNC6508 خوادم REDCap المكشوفة على الإنترنت، ورُصدت وهي تستطلع إصدارات قديمة قابلة للاختراق، غير أن غوغل لم يحدد متجه الوصول الأولي ولم يُسمِّ ثغرة CVE بعينها.
بعد نحو ثلاثة أشهر من الاختراق الأولي، نشرت المجموعة برمجية خلفية مخصصة (Backdoor) أطلق عليها GTIG اسم **INFINITERED**، تعمل عبر ثلاث آليات:
- **الاستمرارية**: تُصيب ملفات REDCap النظامية بحيث تُعيد حقن الشيفرة الخبيثة مع كل تحديث، مما يجعل الترقيات أداةً لنشر الإصابة لا لإزالتها.
- **حصاد بيانات الاعتماد**: تسرق أسماء المستخدمين وكلمات المرور من صفحة تسجيل الدخول وتخزّنها مشفّرةً في جداول قاعدة البيانات المحلية.
- **التحكم عن بُعد**: تستقبل الأوامر عبر ملفات تعريف الارتباط (HTTP Cookies) وتُنفَّذ مع كل تحميل لصفحة.
بعد التمركز في الخادم، أجرى المهاجمون استطلاعاً داخلياً واستخرجوا بيانات اعتماد قواعد البيانات وحسابات الخدمات، ثم تحركوا أفقياً داخل الشبكة حتى بلغوا حساب مدير النطاق (Domain Administrator).
**أسلوب التسريب: قواعد Google Workspace**
الجانب الأكثر لفتاً للانتباه هو أسلوب سرقة البريد الإلكتروني. بعد الحصول على صلاحيات المدير، أنشأت المجموعة قاعدة امتثال محتوى (Content Compliance Rule) وهي ميزة مشروعة في Google Workspace تُتيح للمسؤولين مسح الرسائل بحثاً عن كلمات مفتاحية وإعادة توجيهها.
أنشأ المهاجمون قاعدة أُخطئ فيها إملاء الاسم عمداً على شكل "Patroit"، تراقب قرابة 150 كلمة مفتاحية وعنواناً بريدياً. عند تطابق أي رسالة مع هذه الكلمات، تُرسل Workspace نسخة مخفية (BCC) تلقائياً إلى عنوان Gmail يسيطر عليه المهاجمون — وقد أوقف غوغل ذلك العنوان منذ ذلك الحين. لم تُستخدم أي برمجية خبيثة على خادم البريد، ولا أداة تسريب منفصلة، ولا حركة شبكية لافتة؛ مجرد ميزة مدمجة حُوّلت إلى قناة تجسس صامتة.
تُصنّف MITRE استغلال قواعد إعادة توجيه البريد تقنيةً معروفة، لكن GTIG تُشير إلى أن توظيف قواعد الامتثال على مستوى النطاق بهذا الأسلوب لم يُرصد سابقاً من جهة تهديد مرتبطة بالصين.
**أولويات الجمع الاستخباراتي**
كشفت الكلمات المفتاحية المستهدفة عن اهتمامات المجموعة: السياسة الجيواستراتيجية، الاستراتيجية العسكرية والمعدات، التقنيات المتقدمة بما فيها الذكاء الاصطناعي (AI) والمركبات غير المأهولة، برامج الهجوم السيبراني، والأبحاث الطبية. مصطلح واحد بدا لافتاً للانتباه بدقته: "chikungunya" الفيروس المنقول بالبعوض الذي تقف وراء تفشٍّ في مقاطعة غوانغدونغ الصينية عام 2025.
لماذا يهمّك
هذا الحادث يكشف نمطاً في غاية الخطورة: لا يحتاج المهاجم بعد الحصول على صلاحيات المدير إلى أي أداة هجومية إضافية لسرقة البريد، إذ تكفيه ميزة مدمجة في المنصة السحابية. هذا يعني أن مراجعة برمجيات الحماية التقليدية وحدها لن تكشف عملية التسريب، وأن أي مؤسسة تعمل بـ Google Workspace أو منصات بريد مؤسسي مشابهة قد تكون معرّضة لأسلوب مطابق.
فضلاً عن ذلك، تُجسّد برمجية INFINITERED مستوى متقدماً من الثبات (Persistence)، إذ تحوّل آلية التحديث ذاتها إلى وسيلة لإعادة الإصابة، مما يجعل الترقية الروتينية للبرنامج خطوةً غير كافية للتنظيف.
توصيات
- **رقع REDCap فوراً**: حدّث الخوادم المكشوفة على الإنترنت وأزل الإصدارات القديمة كلياً، لأن REDCap يسمح بتشغيل إصدارات متعددة جنباً إلى جنب وهو ما يفتح الباب أمام هجمات الرجوع للإصدار القديم (Downgrade Attacks).
- **افحص قواعد البريد**: راجع قواعد الامتثال وإعادة التوجيه في Google Workspace أو ما يعادلها، وابحث عن أي قاعدة تُرسل نسخاً إلى عناوين خارجية.
- **راجع سجلات التدقيق**: لا تكتفِ بما تقوله القواعد الآن؛ تحقق من سجلات المدير للكشف عن متى أُنشئت أو عُدّلت.
- **صيّد INFINITERED**: استخدم مؤشرات الاختراق (Indicators of Compromise) التي نشرها GTIG للبحث في بيئتك.
- **فعّل المصادقة متعددة العوامل المقاومة للتصيد (Phishing-resistant MFA)** على حسابات المدير، إذ إن خطوة سرقة البريد برمّتها تعتمد على الوصول الإداري.
