اخترقت مجموعة قرصنة مدعومة من الحكومة الصينية أنظمة الحاسب لست حكومات ضمن الولايات المتحدة الأمريكية، وفقًا لتقرير تهديد منشور حديثًا من شركة الأمن السيبراني Mandiant.
واستهدفت المجموعة، التي تشير إليها Mandiant باسم APT41، حكومات الولايات المتحدة بين مايو 2021 وفبراير 2022.
وعندما تم اختراق الشبكات، وجدت Mandiant أدلة على سرقة معلومات التعريف الشخصية بما يتفق مع عملية التجسس، بالرغم من أن الشركة قالت إنها لا تستطيع إجراء تقييم نهائي للنية في هذا الوقت.
ولدى Mandiant تاريخ في الكشف عن التهديدات الخطيرة للأمن السيبراني، بما في ذلك الهجمات التي ترعاها الدولة مثل اختراق SolarWinds ضد الوكالات الحكومية الأمريكية الكبرى من قبل قراصنة يعتقد أنهم مدعومون من الحكومة الروسية.
وتم الاستحواذ على الشركة مؤخرًا بواسطة شركة جوجل في صفقة تم الإعلان عنها جنبًا إلى جنب مع إصدار التقرير.
ووفقًا لبحث Mandiant، تمكنت مجموعة APT41 من اختراق الشبكات الحكومية من خلال استغلال نقاط الضعف في التطبيقات التي تم إنشاؤها باستخدام منصة مطور .NET التابعة لشركة مايكروسوفت، بما في ذلك نقطة ضعف لم تكن معروفة من قبل في نظام قاعدة بيانات تقارير صحة الحيوان USAHERDS.
وتم تطوير برنامج USAHERDS لأول مرة لوزارة الزراعة في بنسلفانيا. وقد تم وصفه كنموذج لتحسين إمكانية تتبع الأمراض في الثروة الحيوانية.
APT41 تستهدف حكومات الولايات المتحدة
اعتمدت ولايات أخرى برنامج USAHERDS لاحقًا. ولكن الإشراف على التعليمات البرمجية أدى إلى كون مفاتيح التشفير التي سمحت بعمليات معينة داخل التطبيق هي نفسها في جميع حالات USAHERDS. ومن شأن اختراق حالة واحدة أن يسمح للمتسلل بتنفيذ التعليمات البرمجية الخاصة به عبر أي نظام يقوم بتشغيل البرنامج.
وقالت Mandiant إن المدى الكامل للاختراق يمكن أن يشمل أهدافًا أكثر من الأهداف الستة المعروفة حاليًا. نقول ست ولايات على الأقل لأنه من المحتمل أن يكون هناك المزيد من الولايات المتضررة. نحن نعلم أن هناك 18 ولاية تستخدم USAHERDS. نتيجة لذلك فإننا نقدر أن هذه حملة على الأرجح أوسع من الولايات الست التي لدينا تأكيد بشأنها.
وإلى جانب اختراق التطبيقات المستندة إلى .NET، استغلت APT41 أيضًا ثغرة Log4Shell. ووفقًا لتحليل Mandiant، بدأت APT41 بشن هجمات استغلت Log4j في غضون ساعات من نشر تفاصيل الثغرة الأمنية.
واستخدامت الثغرة الأمنية لتثبيت الأبواب الخلفية في أنظمة لينكس التي من شأنها أن تمنحها وصولاً مستمراً في وقت لاحق.
وتمنح تسميات APT للتهديدات المستمرة المتقدمة التي يتم توظيفها بشكل مباشر إما من قبل الحكومة الوطنية أو مجموعة قراصنة النخبة التي تعمل بدعم من الدولة.
وتم تفصيل أنشطة APT41 بشكل متعمق في تقرير صادر عن شركة الأمن السيبراني FireEye. وأطلقت الشركة على مجموعة القرصنة Double Dragon، وذلك لتركيزها المزدوج على التجسس والجرائم الإلكترونية المالية.
وأدت تصرفات مجموعة القرصنة إلى لفت انتباه السلطات الأمريكية إليها. وأصدرت وزارة العدل تهماً ضد خمسة أعضاء من APT41 في عامي 2019 و 2020. وأدى ذلك إلى احتلالهم مكانًا في قائمة المطلوبين الإلكترونيين لمكتب التحقيقات الفيدرالي.
الولايات المتحدة وأوروبا تهددان روسيا بنظام SWIFT