استمع إلى المقال

مع تزايد الترابط بين الدول في عصر العولمة، أصبحت الحروب الإلكترونية سلاحا فتاكا في يد الدول لتحقيق طموحاتها وأهدافها؛ على سبيل المثال، القراصنة المدعومون من الدولة، مثل سلطات بكين برعاية “الحزب الشيوعي” الحاكم، يستخدمون تقنيات متقدمة ومتعددة لاستهداف دول أخرى في مجالات استراتيجية وأساسية، مثل البنية التحتية، والصحة، والطاقة، والاتصالات، والتجارة، هذه الهجمات لا تقتصر على سرقة المعلومات والملكية الفكرية، بل تسعى أيضا إلى تعطيل وتدمير وتضليل عمليات الضحايا وسمعتهم.

الأضرار التي قد تسببها الحروب الإلكترونية قد تتجاوز في بعض الأحيان الأضرار التي قد تحدث على الأرض في حال نشوب حرب؛ فعلى سبيل المثال، قد يؤدي اختراق شبكة كهربائية إلى انقطاع التيار عن ملايين المستخدمين، مما يؤثر في حياتهم وأمنهم ورفاهيتهم، وكما قد يؤدي اختراق شبكة صحية إلى تسريب بيانات شخصية حساسة للمرضى، أو تعطيل أجهزة طبية حيوية، أو تزوير نتائج التجارب العلمية؛ بالإضافة إلى ذلك، قد يؤدي اختراق شبكة اتصالات إلى تشويش على خدمات الإنترنت والهاتف والإذاعة والتلفزيون، أو تزييف المعلومات ونشر البروباغندا.

في هذا التقرير، سنستعرض أحدث هجوم إلكتروني نُسِبَ إلى المهاجمين الصينيين، والذي استخدم تقنية جديدة تسمى تهريب “HTML” لإصابة عدة دول في أوروبا ببرامج ضارة تسمح للمهاجمين بالوصول إلى أجهزتهم عن بُعْد، سنشرح كيفية عمل هذه التقنية، وأي نوع من البرامج الضارة تستخدم، وكيف يمكن للضحايا التصدي لهذا التهديد.

هجوم صنع في الصين

في الآونة الأخيرة، تم رصد مجموعة صينية تابعة للدولة تستهدف وزارات الشؤون الخارجية والسفارات في أوروبا باستخدام تقنيات تهريب “HTML” لتسليم تروجان”PlugX” للوصول البعيد على الأنظمة المخترقة.

وفقا لشركة “Check Point” المتخصصة في الأمن السيبراني، فإن هذا النشاط، المسمى “SmugX”، مستمر منذ كانون الأول/ديسمبر 2022 على الأقل، وهو جزء من اتجاه أوسع للصينيين لتحويل اهتمامهم إلى أوروبا.

الحملة تستخدم طرق تسليم جديدة لنشر (وبشكل خاص – تهريب HTML) نسخة جديدة من “PlugX”، وهو أسلوب مرتبط بشكل شائع بمجموعات متنوعة من المهاجمين الصينيين، وفقا لشركة “Check Point”.

الشركة قالت أيضا، إنه “على الرغم من أن الحمولة نفسها تظل مشابهة لتلك الموجودة في نسخ PlugX القديمة، إلا أن طرق التسليم تؤدي إلى معدلات اكتشاف منخفضة، والتي حتى وقت قريب ساعدت الحملة في التخفي”.

هوية المهاجم التهديدي وراء هذه العملية غير واضحة بعض الشيء، على الرغم من أن الدلائل الموجودة تشير إلى اتجاه “Mustang Panda”، والذي يشارك أيضا في الأساليب المتشابهة مع مجموعات تتبع باسم “Earth Preta، RedDelta”.

مع ذلك، قالت الشركة إنه “لا توجد أدلة كافية في هذه المرحلة لإسنادها بشكل قاطع إلى التجمع المعادي”.

الهجوم الأخير يبرز استخدام تقنية تهريب “HTML” وهي تقنية خفية يستخدم فيها المهاجمون خصائص “HTML5″ و”JavaScript” المشروعة لتجميع وإطلاق البرامج الضارة في المستندات المزورة المرفقة برسائل التصيد عبر البريد الإلكتروني.

تهريب “HTML” يستخدم سمات “HTML5” التي يمكن أن تعمل دون اتصال بإخفاء ثنائي في كتلة بيانات ثابتة داخل رمز “”JavaScript، كما لاحظت شركة الأمن السيبراني “Trustwave” في شباط/فبراير الماضي الكتلة البياناتية، أو الحمولة المضمنة، يتم فك تشفيرها إلى شكل ملف عند فتحها عبر متصفح الوِيب”.

تحليل المستندات، التي تم تحميلها إلى قاعدة بيانات البرامج الضارة “”VirusTotal، يكشف أنها مصممة لاستهداف الدبلوماسيين والكيانات الحكومية في التشيك، والمجر، وسلوفاكيا، والمملكة المتحدة، وأوكرانيا، وعلى الأرجح أيضا فرنسا والسويد.

في حالة واحدة، قيل إن المهاجم استخدم طعما متعلقا بالأويغور، وعند فتحه يرسل إشارة إلى خادم خارجي غير مرئي لتصريف بيانات الاستطلاع، وتستخدم عملية الإصابة متعددة المراحل طرق تحميل “DLL” جانبية لفك تشفير وإطلاق الحمولة النهائية “PlugX”.

“PlugX” تُعرف أيضا باسم “Korplug”، وهي برامج ضارة تعود إلى عام 2008 وهي تروجان قابل للتعديل يستوعب إضافات متنوعة ذات وظائف مختلفة تتيح للمشغلين تنفيذ سرقة الملفات، والتقاط الشاشة، وتسجيل الضغطات على المفاتيح، وتنفيذ الأوامر.

خلال مسار التحقيق في العينات، أرسل المهاجم سكربت دفعي، أرسل من خادم C&C، يهدف إلى مسح أثرِ أنشطته، حسب شركة “Check Point”.

هذا السكربت، المسمى “del_RoboTask Update.bat”، يزيل التنفيذية المشروعة، و”DLL” محمل “PlugX”، والمفتاح التسجيل المستخدم للاستمرارية، وفي نهاية المطاف يحذف نفسه، ومن المحتمل أنتكون هذه الخطوة نتيجة أن المهاجمون أصبحوا على دراية بأنهم تحت المجهر.

تهريب “HTML” ومخاطره

تهريب “HTML” هو تقنية خفية تسمح للمهاجمين بتجاوز أجهزة الأمن الطرفية عن طريق إنشاء “HTML” ضار خلف جدار الحماية و داخل المتصفح على النقطة الطرفية المستهدفة، تستخدم تقنيات تهريب “HTML” ميزات “HTML5″ و”JavaScript” النظامية لإخفاء سكربت “JavaScript” ضار مشفر داخل مرفق “HTML” أو صفحة ويب، عندما يفتح المستخدم المستهدف “HTML” في متصفح الويب، يفك شفرة السكربت الضار، والذي بدوره يجمع الحمولة الضارة على الجهاز المضيف.

هذه التقنية يصعب الكشف عنها لأنها قد تتجاوز عناصر التحكم في الأمن القياسية، مثل بروكسيات الويب وبوابات البريد الإلكتروني، التي غالبا ما تتحقق فقط من وجود مرفقات أو حركة مشبوهة بناء على التوقيعات والأنماط، ونظرا لأن الملفات الضارة يتم إنشاؤها فقط بعد تحميل ملف “HTML” على النقطة الطرفية من خلال المتصفح، فإن بعض حلول الحماية ترى فقط حركة “HTML” و”JavaScript” طبيعية وغير ضارة في البداية، والتي يمكن أيضا أن تكون مشوشة لإخفاء هدفها الحقيقي.

لذلك، تحتاج المؤسسات إلى استراتيجية “الدفاع في العمق” حقيقية وحل أمان متعدد الطبقات يفحص تسليم البريد الإلكتروني، والنشاط على الشبكة، وسلوك النقطة الطرفية، والأنشطة اللاحقة للمهاجم.

ارتفاع استخدام تهريب “HTML” في حملات البريد الإلكتروني هو مثال آخر على كيفية تحسين المهاجمون لمكونات محددة من هجماتهم عن طريق دمج تقنيات صعبة الكشف عنها.

أمن وسلامة الدول

بنهاية هذا الاستعراض، يتضح أن التحديات الناجمة عن الحروب الإلكترونية تتطلب تعاونا دوليا وجهودا مشتركة لمكافحتها، فالتقنيات المتطورة التي تستخدمها القراصنة المدعومون من الدول تطرح تحديات جديدة تفوق الإجراءات التقليدية للأمن السيبراني.

من الضروري أن تتخذ الدول والمؤسسات إجراءات فعالة لتعزيز قدرتها على الكشف عن الهجمات والاستجابة لها، وتطوير الحماية السيبرانية للأنظمة والشبكات الحيوية، يجب أيضا أن تتبنى استراتيجيات رامية تستهدف تعزيز التوعية والتدريب للكوادر البشرية في هذا المجال، لتعزيز قدراتها على التعامل مع التهديدات الإلكترونية المستقبلية.

في الختام، يتعين علينا أن ندرك أن الحروب الإلكترونية ليست مجرد مسألة تقنية، بل هي أمر يتعلق بأمن وسلامة الدول والمجتمعات، وإن التعامل مع هذا التحدي المتنامي يتطلب إرادة سياسية قوية وتكاتف الجهود لحماية البنية التحتية الحيوية والحفاظ على سيادة الدول والسلامة الإنسانية، من خلال التعاون والابتكار، يمكننا مواجهة تلك التهديدات وضمان عالم متصل آمن ومزدهر للأجيال القادمة.