مجموعة تجسس صينية تخترق شبكة معزولة عشر سنوات بالتحكم في منظومة المصادقة

ماذا حدث

كشفت شركة الأبحاث الأمنية Sygnia عن عملية تجسس إلكتروني واسعة النطاق أطلقت عليها اسم "Operation Highland"، نفّذها تنظيم التهديد الصيني المعروف بـ Velvet Ant. استهدفت العملية منظومة البنية التحتية الحيوية لمؤسسة كبيرة، ونجح المهاجمون في التغلغل داخل شبكة معزولة تماماً عن الإنترنت (Air-Gapped Network) والبقاء فيها طيّ الكتمان لما يقارب عشر سنوات متواصلة، بدءاً من عام 2016.

التفاصيل

### سلسلة الهجوم: من الإنترنت إلى الشبكة المعزولة

انطلق الهجوم من اختراق خوادم مكشوفة على الإنترنت، دون أن يُفصح الباحثون عن طبيعة الثغرات المستغلة. نشر المهاجمون نسخة معدّلة من أداة الوصول العكسي GS-Netcat مُقنّعةً في هيئة مكوّن نظام شرعي، وربطوها بنطاق وسيط ثابت مُشفَّر لتوفير وصول بعيد آمن. ثم أضافوا وكيلاً شبكياً مخصصاً من نوع SOCKS5 يعمل في الخلفية متنكراً بمسمى عملية 'smbd -D'، ليحوّل الخوادم المخترقة إلى نقاط ارتكاز داخلية.

وللوصول إلى الشبكة المعزولة تحديداً، طوّر المهاجمون أسلوباً ذكياً: عدّلوا إعدادات خادم Nginx المكشوف على الإنترنت لتوجيه طلبات HTTP خاصة نحو خادم خلفي مخترق، والذي بدوره وجّه تلك الطلبات إلى معالج FastCGI يُشغّل ثنائياً مخصصاً باسم 'uptime'. يقوم هذا الثنائي بتأسيس اتصالات SSH نحو أنظمة الشبكة المعزولة بناءً على معاملات مُرسَلة في طلبات HTTP POST. وبهذه الطريقة التسلسلية، تمكّنت المجموعة من الوصول الكامل إلى البيئة المعزولة دون أن تُنشئ اتصالاً مباشراً معها قط.

### السيطرة على منظومة المصادقة

بعد اقتحام الشبكة المعزولة، انصبّ تركيز المهاجمين على ترسيخ الوجود طويل الأمد وسرقة بيانات الاعتماد. لجأوا إلى استبدال وحدات نظام المصادقة القابلة للتوصيل (PAM - Pluggable Authentication Modules) بنسخ مُخترَقة تقبل كلمات مرور مُشفَّرة مسبقاً وتحصد بيانات اعتماد المستخدمين. رصد باحثو Sygnia تسعة متغيرات مختلفة لوحدة PAM المخترقة، كلّ منها مُصرَّفة في بيئة بناء منفصلة، مما يشير إلى أن التنظيم يمتلك موارد تقنية ضخمة.

علاوة على ذلك، استُبدلت مكونات OpenSSH الأساسية — بما فيها ssh وsshd وscp — بنسخ مُلغَّمة تسجّل الأوامر المُنفَّذة وتلتقط بيانات الاعتماد وتخزّنها محلياً لاسترجاعها لاحقاً. النتيجة: غدا كل نشاط إداري مرئياً بالكامل للمهاجمين، من أول جلسة دخول وحتى آخر أمر مُنفَّذ، فيما ظلّ وصولهم مضموناً حتى عند تغيير كلمات المرور أو إنهاء الجلسات.

### سجلّ التنظيم

ليست هذه المرة الأولى التي يرصد فيها الباحثون نشاط Velvet Ant؛ إذ وثّقت Sygnia عام 2024 حملةً سابقة استهدفت أجهزة F5 BIG-IP وظلّت غير مكتشفة ثلاث سنوات. كذلك حذّرت Cisco في العام ذاته من استغلال التنظيم ثغرة يوم صفري في نظام NX-OS الخاص بمحوّلات Nexus.

### تعقيدات الاستئصال

حتى بعد اكتشاف الاختراق، كانت إزالة آثار Velvet Ant عملية بالغة التعقيد؛ ذلك أن استبدال المكونات المُلغَّمة بنظيراتها الشرعية كان يُهدد بقطع المصادقة وحجب الوصول عن المسؤولين وتعطيل العمليات. اضطر الباحثون إلى بناء بيئة اختبار مخصصة للتحقق من كل خطوة إحلال، وتوصيف كل مضيف على حدة، وإعداد إجراءات للتراجع قبل الشروع في أي تغيير.

لماذا يهمّك

تُعيد هذه العملية إلى الواجهة إشكالية كبرى يعتقد كثيرون أنها غير قابلة للاختراق: العزل الفيزيائي للشبكات الحساسة. فقد أثبت Velvet Ant أن العزل وحده ليس ضماناً كافياً طالما أن هناك خوادم وسيطة مكشوفة على الإنترنت يمكن توظيفها جسراً للعبور. يُضاف إلى ذلك أن السيطرة على طبقة المصادقة تجعل التدابير التقليدية كتغيير كلمات المرور وإنهاء الجلسات عديمة الجدوى عملياً.

توصيات

بناءً على نتائج التحقيق، توصي Sygnia بما يلي:

• **حماية مكونات المصادقة** مثل PAM وOpenSSH وWindows LSASS بوصفها أصولاً أمنية بالغة الحساسية، وتطبيق حلول الكشف والاستجابة على نقاط النهاية (EDR) ومراقبة سلامة الملفات (File Integrity Monitoring) عليها.
• **تفعيل المصادقة متعددة العوامل (MFA)** وتشديد ضوابط الوصول المميّز.
• **المراقبة المستمرة** لأي تعديل غير مصرح على المكونات الحيوية.
• **وضع خطط استرداد غير متصلة بالشبكة** تشمل نسخاً احتياطية منتظمة ذات لقطات ثابتة غير قابلة للتعديل، مع اختبار استعادتها بصفة دورية على أنظمة تشغيل موثوقة.