قراصنة صينيون يسرقون الملكية الفكرية للعديد من الشركات ,نجحت حملة تجسس إلكتروني مراوغة ومتطورة نظمتها مجموعة Winnti المدعومة من الصين في التحليق تحت الرادار منذ عام 2019 على الأقل.
سمحت عملية السرقة الضخمة للملكية الفكرية ، التي أطلق عليها اسم “عملية CuckooBees” من قبل شركة الأمن السيبراني الإسرائيلية Cybereason ، لممثل التهديد بسرقة مئات الجيجابايت من المعلومات.
وشملت الأهداف شركات التكنولوجيا والتصنيع الموجودة في المقام الأول في شرق آسيا وأوروبا الغربية وأمريكا الشمالية.
يتحدث الباحثون عن:
وقال الباحثون: “استهدف المهاجمون الملكية الفكرية التي طورها الضحايا ، بما في ذلك الوثائق الحساسة والمخططات والرسوم البيانية والصيغ وبيانات الملكية المتعلقة بالتصنيع”.
“بالإضافة إلى ذلك ، قام المهاجمون بجمع المعلومات التي يمكن استخدامها للهجمات الإلكترونية المستقبلية ، مثل تفاصيل حول وحدات أعمال الشركة المستهدفة ، وبنية الشبكة ، وحسابات المستخدمين وبيانات الاعتماد ، ورسائل البريد الإلكتروني للموظفين ، وبيانات العملاء.”
Winnti. الذي تم تتبعه أيضًا من قبل بائعي الأمن السيبراني الآخرين تحت أسماء APT41 و Axiom و Barium و Bronze Atlas ، معروف بأنه نشط منذ عام 2007 على الأقل.
“نية المجموعة نحو سرقة الملكية الفكرية من المنظمات في الاقتصادات المتقدمة ، وبثقة معتدلة أن هذا نيابة عن الصين لدعم صنع القرار في مجموعة من القطاعات الاقتصادية الصينية ،” يلاحظ Secureworks في ملف تعريف التهديد للجهة الفاعلة.
تتضمن سلسلة العدوى متعددة المراحل التي وثقتها Cybereason استغلال الخوادم التي تواجه الإنترنت لنشر غلاف الويب بهدف إجراء أنشطة الاستطلاع والحركة الجانبية واستخراج البيانات.
إنها معقدة ومعقدة على حد سواء. وذلك باتباع نهج “بيت البطاقات” حيث يعتمد كل مكون من مكونات سلسلة Killchain على وحدات أخرى من أجل العمل ، مما يجعل التحليل صعبًا للغاية.
كما أوضح الباحثون أن “هذا يوضح الفكر والجهد اللذين تم بذلهما في اعتبارات الأمن التشغيلي والبرمجيات الخبيثة. مما يجعل من المستحيل تقريبًا تحليلها ما لم يتم تجميع كل أجزاء الأحجية بالترتيب الصحيح”.
تسهيل تجميع البيانات
يتم تسهيل تجميع البيانات عن طريق محمل معياري يسمى Spyder. والذي يستخدم لفك تشفير وتحميل الحمولات الصافية الإضافية. تُستخدم أيضًا أربع حمولات مختلفة – STASHLOG و SPARKLOG و PRIVATELOG و DEPLOYLOG – والتي يتم نشرها بشكل تسلسلي لإسقاط WINNKIT ، وهي مجموعة rootkit على مستوى kernel.
من الأمور الحاسمة في تخفي الحملة استخدام تقنيات “نادرًا ما يتم رؤيتها” مثل إساءة استخدام آلية نظام ملفات سجل Windows المشترك (CLFS) لإخفاء الحمولات. مما يمكّن مجموعة القرصنة من إخفاء حمولاتها وتجنب الكشف عن طريق منتجات الأمان التقليدية .
ومن المثير للاهتمام. أن Mandiant قد تم تفصيل أجزاء من تسلسل الهجوم مسبقًا في سبتمبر 2021. مع الإشارة إلى إساءة استخدام CLFS لإخفاء حمولات المرحلة الثانية في محاولة للتحايل على الاكتشاف.
عزت شركة الأمن السيبراني البرمجيات الخبيثة إلى جهة فاعلة غير معروفة. لكنها حذرت من أنه يمكن نشرها كجزء من نشاط شديد الاستهداف.
قال مانديانت في ذلك الوقت: “نظرًا لعدم استخدام تنسيق الملف أو توثيقه على نطاق واسع. لا توجد أدوات متاحة يمكنها تحليل ملفات سجل CLFS”. “يوفر هذا للمهاجمين فرصة لإخفاء بياناتهم كسجلات سجل بطريقة مناسبة. لأنه يمكن الوصول إليها من خلال وظائف API.”
WINNKIT
من جانبه. لديه طابع زمني للتجميع في مايو 2019 ولديه معدل اكتشاف شبه معدوم في VirusTotal. مما يسلط الضوء على الطبيعة المراوغة للبرامج الضارة التي مكنت المؤلفين من البقاء غير مكتشفين لسنوات.
قام الباحثون بتقييم الهدف النهائي لعمليات الاقتحام. وهو سرقة المعلومات الخاصة. ووثائق البحث. وكود المصدر. والمخططات الخاصة بالتقنيات المختلفة.
كما قال سايبرسون: “وينتي هي واحدة من أكثر المجموعات كادحًا التي تعمل نيابة عن المصالح المتحالفة مع الدولة الصينية”. “استخدم التهديد [الفاعل] سلسلة عدوى معقدة ومتعددة المراحل كانت حاسمة لتمكين المجموعة من البقاء غير مكتشفة لفترة طويلة.”
قراصنة صينيون يسرقون الملكية الفكرية للعديد من الشركات اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.