لسنوات عديدة، كانت حقيقة مؤسفة في صناعة أمن الإنترنت أن أدوات أمان الإنترنت التي يتم بيعها لحماية المستهلكين من الجواسيس ومجرمي الإنترنت، في حد ذاتها، غالبًا ما تكون الآلات التي يتلاعب بها هؤلاء المهاجمون لتحقيق أهدافهم. في كثير من الأحيان، أصبحت نقاط الضعف في الأجهزة المحيطة، مثل جدران الحماية وأجهزة VPN، بمثابة مصائد للمتسللين المتطورين الذين يحاولون اقتحام الأنظمة التي صممت تلك الأجهزة لحمايتها.
الآن يكشف أحد موردي الأمن السيبراني عن مدى صعوبة ومدة قتاله ضد مجموعة من المتسللين الذين كانوا يحاولون استخدام منتجاته لمصلحتهم الخاصة. لأكثر من خمس سنوات، لعبت شركة سوفوس للأمن السيبراني في المملكة المتحدة لعبة القط والفأر مع مجموعة واحدة من الخصوم تستهدف جدران الحماية الخاصة بها. وذهبت الشركة إلى أبعد من ذلك لتتبع ومراقبة أدوات محددة كان البائعون يختبرون تقنيات التسلل الخاصة بهم، ويتتبعون المجرمين في العمل، وفي النهاية يتتبعون جهود الهجمات الإلكترونية المركزة وطويلة المدى – أحد أكثر المستكشفين ضعفًا في تشنغدو. الصين.
يوم الخميس، أبلغت سوفوس عن المعركة التي استمرت نصف عقد مع هؤلاء المجرمين الصينيين في تقرير وهو ما يفسر تزايد قضية العين بالعين. وذهبت الشركة إلى حد إدخال “برامجها المزروعة” بشكل سري في أجهزة Sophos الخاصة بالقراصنة الصينيين لرصد محاولاتهم لاستغلال جدران الحماية الخاصة بها والحماية منها. حتى أن باحثي سوفوس وجدوا على أجهزة اختبار البائعين عينة من البرامج الضارة “bootkit” المصممة للاختباء بشكل غير مرئي داخل رمز جدار الحماية منخفض المستوى المستخدم لإطلاق الأجهزة، وهي خدعة لم يسبق لها مثيل في البلاد.
وفي هذه العملية، أشار محللو سوفوس إلى سلسلة من حملات القرصنة التي بدأت بإساءة استخدام منتجاتها ولكنها أصبحت في نهاية المطاف أكثر تعقيدًا واستهدافًا، حيث ضربت تجار التجزئة والجهات التنظيمية للطاقة النووية، وهي أهداف عسكرية بما في ذلك المستشفى العسكري والاتصالات السلكية واللاسلكية والحكومة ووكالات الاستخبارات. . ومطار إحدى عواصم البلاد. وعلى الرغم من أن معظم الأهداف – التي رفضت سوفوس تحديدها بشكل أكبر – كانت في جنوب وجنوب شرق آسيا، إلا أن عددًا صغيرًا منها كان في أوروبا والشرق الأوسط والولايات المتحدة.
ويربط تقرير سوفوس العديد من حملات القرصنة هذه – بدرجات متفاوتة من الثقة – بمجموعات القرصنة المدعومة من الحكومة الصينية بما في ذلك تلك المعروفة باسم APT41، وAPT31، وVolt Typhoon، وهي في نهاية المطاف مجموعة عدوانية تبحث عن القدرة على التدمير. البنية التحتية الحيوية للولايات المتحدة، بما في ذلك شبكات الطاقة. لكن القاسم المشترك بين تلك المحاولات لاختراق أجهزة سوفوس، كما تقول الشركة، ليس إحدى مجموعات القرصنة المعروفة سابقًا، بل شبكة أوسع من الباحثين الذين يبدو أنهم طوروا أساليب لتدميرها وإعطائها للحكومة الصينية . ويربط محللو سوفوس هذا التطور بمؤسسة أكاديمية ومقاول، وكلاهما في مدينة تشنغدو: شركة Sichuan Silence Information Technology – وهي شركة. لقد تم ربطها سابقًا بواسطة Meta بجهود التضليل التي تبذلها الدولة الصينية– وجامعة العلوم والتكنولوجيا الإلكترونية في الصين.
تقول سوفوس إنها تحكي القصة الآن ليس فقط لمشاركة المعلومات حول خط أنابيب البحث والتطوير في مجال القرصنة في الصين، ولكن أيضًا لكسر الصمت المخيف لصناعة الأمن السيبراني حول المشكلة الهائلة المتمثلة في نقاط الضعف في الأمن السيبراني التي تعمل كنقاط دخول للمجرمين. ففي العام الماضي وحده، على سبيل المثال، تم استغلال العيوب في المنتجات الأمنية من البائعين بما في ذلك Ivanti وFortinet وCisco وPalo Alto في حملات تصيد احتيالي جماعية أو حملات تسلل مستهدفة. “لقد أصبح هذا سرًا مكشوفًا. الناس يفهمون أن هذا يحدث، ولكن لسوء الحظ الجميع يفهم ذلك أَزِيز،قال روس مكيرشار، كبير ضباط الأمن في سوفوس، وهو يقلد سحب السحاب على فمه. وأضاف: “نحن نتبع نهجا مختلفا، ونحاول أن نكون شفافين ونتعامل مع هذه القضية ونلتقي بخصومنا في ساحة المعركة”.
من عرض مخترق إلى موجات هائلة من التقدير
وكما تقول سوفوس، فإن معركة الشركة الطويلة مع البائعين الصينيين بدأت في عام 2018 مع اختراق سوفوس نفسها. اكتشفت الشركة إصابة ببرامج ضارة في جهاز كمبيوتر مزود بشاشة عرض في مكتب أحمد آباد التابع لشركة Cyberoam الهندية التابعة لها. جذبت البرامج الضارة انتباه Sophos بسبب ضوضاء مراقبة الشبكة. ولكن عندما نظر محللو الشركة عن كثب، وجدوا أن المتسللين الذين يقفون وراءها قد قاموا بالفعل باختراق أجهزة أخرى على شبكة Cyberoam باستخدام برنامج rootkit الأكثر تقدمًا الذي قاموا بإنشائه. المعروف باسم CloudSnooper. في وقت لاحق، تعتقد الشركة أن الاختراق الأولي كان مصممًا للحصول على معلومات استخباراتية حول منتجات Sophos التي من شأنها أن تمكن الهجمات اللاحقة من استهداف عملائها.
ثم في ربيع عام 2020، بدأت سوفوس في التعرف على حملة واسعة من العدوى العشوائية لعشرات الآلاف من جدران الحماية حول العالم في محاولة واضحة لتثبيت حصان طروادة. دعا اسناروك وإنشاء ما يطلق عليه “صناديق الترحيل التشغيلية” أو ORBs – وهي في الأساس شبكة روبوتات من الأجهزة المخترقة التي يمكن للمتسللين استخدامها كنقاط إطلاق لتطبيقات أخرى. كانت الحملة تتمتع بموارد جيدة بشكل لا يصدق، حيث استغلت ثغرة أمنية استمرت لعدة أيام ويبدو أن المتسللين قد عثروا عليها في أجهزة سوفوس. فقط خطأ في الجهود المبذولة لتنظيف البرامج الضارة على جزء صغير من الأجهزة المتضررة سمح لشركة Sophos بتحليل السجلات والبدء في التعرف على البائعين الذين يستهدفون منتجاتها.
