برمجيات داكسين المرتبطة بالصين تستهدف حكومات عدة استهدفت برمجيات داكسين الخبيثة المرتبطة بالصين عدة حكومات في هجمات تجسس

تم نشر أداة تجسس غير موثقة سابقًا ضد حكومات مختارة وأهداف حيوية أخرى للبنية التحتية كجزء من حملة تجسس طويلة الأمد نظمتها جهات تهديد مرتبطة بالصين منذ عام 2013 على الأقل.

وصف فريق Symantec Threat Hunter في Broadcom ، الباب الخلفي ، المسمى Daxin ، بأنه برنامج ضار متقدم تقنيًا ، مما يسمح للمهاجمين بتنفيذ مجموعة متنوعة من عمليات الاتصالات وجمع المعلومات التي تستهدف الكيانات في قطاعات الاتصالات والنقل والتصنيع ذات الأهمية الاستراتيجية إلى الصين.

قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA): “تعد برامج Daxin الضارة عبارة عن باب خلفي متطور للغاية مع وظائف القيادة والتحكم (C2) المعقدة والخفية التي تمكن الجهات الفاعلة عن بُعد من التواصل مع الأجهزة الآمنة غير المتصلة مباشرة بالإنترنت”.

تأخذ الغرسة شكل برنامج تشغيل Windows kernel الذي ينفذ آلية اتصالات معقدة توفر للبرامج الضارة درجة عالية من التخفي والقدرة على التحدث إلى الأجهزة التي تم فصلها فعليًا عن الإنترنت.

يحقق ذلك من خلال تجنب إطلاق خدمات الشبكة الخاصة به بشكل صريح ، بدلاً من اختيار الاستفادة من خدمات TCP / IP المشروعة التي تعمل بالفعل على أجهزة الكمبيوتر المصابة لدمج اتصالاتها مع حركة المرور العادية على شبكة الهدف وتلقي الأوامر من نظير بعيد.

وأشار الباحثون إلى أن “هذه الميزات تذكرنا بـ Regin” ، في إشارة إلى مجموعة أدوات قرصنة وبرامج ضارة أخرى متطورة منسوبة إلى وكالة الأمن القومي الأمريكية (NSA) لعمليات التجسس الحكومية في عام 2014.

من بين الجوانب غير المعتادة لـ Daxin ، بالإضافة إلى عدم توليد أي حركة مرور مشبوهة على الشبكة لتظل غير مرئية ، قدرتها على نقل الأوامر عبر شبكة من أجهزة الكمبيوتر المصابة داخل المنظمة المهاجمة ، مما يؤدي إلى إنشاء “قناة اتصالات متعددة العقد” تسمح بالوصول المتكرر إلى الأجهزة المخترقة أجهزة الكمبيوتر لفترات طويلة من الزمن.

بينما قيل إن الاختراقات الأخيرة التي تنطوي على الباب الخلفي قد ظهرت في نوفمبر 2021 ، قالت شركة Symantec إنها كشفت عن قواسم مشتركة على مستوى الكود مع جزء أقدم من البرامج الضارة يسمى Exforel (المعروف أيضًا باسم Zala) ، مما يشير إلى أن Daxin ربما تم بناؤه بواسطة ممثل لديه إمكانية الوصول إلى مصدر البرنامج الأخير أو أنهم من عمل نفس المجموعة.

لم تُنسب الحملات إلى خصم واحد ، ولكن يُظهر الجدول الزمني للهجمات أن Daxin تم تثبيته على بعض الأنظمة نفسها حيث تم العثور على أدوات مرتبطة بممثلي التجسس الصينيين الآخرين مثل Slug. يتضمن ذلك نشر كلاً من Daxin و Owprox الضار على جهاز كمبيوتر واحد تابع لشركة تكنولوجيا في مايو 2020.

قال الباحثون: “Daxin هو بلا شك أكثر البرامج الضارة تقدمًا التي يستخدمها ممثل مرتبط بالصين”. “بالنظر إلى قدراته وطبيعة هجماته المنتشرة ، يبدو أن Daxin مُحسّن للاستخدام ضد الأهداف القوية ، مما يسمح للمهاجمين بالتعمق في شبكة الهدف وتسلل البيانات دون إثارة الشكوك”. برمجيات داكسين المرتبطة بالصين تستهدف حكومات عدة

يصل الكشف بعد أسبوع من قيام مختبر بانغو في الصين بتفوق باب خلفي “من الدرجة الأولى” يسمى Bvp47 استخدمته وكالة الأمن القومي الأمريكية لأكثر من عقد من الزمان واستهدف ما يصل إلى 287 منظمة في 45 دولة تقع بشكل رئيسي في الصين وكوريا ، اليابان وألمانيا وإسبانيا والهند والمكسيك.

Share.

Leave A Reply