كشف محققون أميركيون أن قراصنة صينيين تمكنوا من اختراق شركة اتصالات أميركية في صيف عام 2023، في مؤشر على أن المهاجمين المدعومين من بكين تمكنوا من التسلل إلى أنظمة الاتصالات الأميركية في وقت أبكر مما كان يُعتقد علناً.
ووفقا لما نقلته “بلومبرغ” عن شخصين مطلعين على القضية ووثيقة اطلعت عليها الوكالة، فقد اكتشف المحققون العاملون لصالح شركة الاتصالات، العام الماضي، أن برمجيات خبيثة تُستخدم عادة من قبل مجموعات قرصنة مدعومة من بكين كانت مزروعة في أنظمة الشركة لمدة 7 أشهر، بدءاً من صيف 2023.
ولم تذكر الوثيقة، وهي تقرير غير سري أُرسل إلى وكالات استخبارات غربية، اسم الشركة التي تعرّضت للاختراق، كما رفض المصدران الكشف عن هويتها.
وهذا الاختراق، الذي لم يُعلن عنه سابقاً، سبق بحوالي عام التصريحات الرسمية الصادرة عن المسؤولين الأميركيين وشركات الأمن السيبراني التي كشفت عن مؤشرات على تسلل قراصنة صينيين إلى العديد من أكبر شركات الهاتف والاتصالات اللاسلكية في الولايات المتحدة.
“إعصار الملح”
وحمّلت الحكومة الأميركية لاحقاً مسؤولية تلك الهجمات إلى مجموعة قرصنة مدعومة من بكين تُعرف باسم “إعصار الملح” (Salt Typhoon).
لا يزال من غير الواضح ما إذا كان اختراق عام 2023 مرتبطاً بحملة التجسس الأجنبية تلك، وإذا كان كذلك، فما مدى العلاقة بينهما. ومع ذلك، فإن هذا الحادث يثير تساؤلات حول توقيت تمكّن المتسللين الصينيين من ترسيخ وجودهم داخل قطاع الاتصالات الأميركي.
من جانبها، شددت السفارة الصينية في واشنطن، في بيان لها، على صعوبة تحديد مصدر الهجمات السيبرانية، مشيرة إلى أن الولايات المتحدة وحلفاءها مسؤولون عن هجمات إلكترونية استهدفت الصين.
وقال المتحدث باسم السفارة، ليو بينجيو: “يجب على الطرف المعني أن يتوقف عن استخدام مسألة الأمن السيبراني لتشويه سمعة الصين والإساءة إليها، وأن يتوقف عن نشر شتى أنواع المعلومات المضللة بشأن ما يُسمى بتهديدات القرصنة الصينية”.
ورفض ممثلو وكالة الاستخبارات المركزية الأميركية CIA، ووكالة الأمن القومي NSA، ومكتب التحقيقات الفيدرالي FBI، ووكالة الأمن السيبراني وأمن البنية التحتية CISA التعليق على الموضوع.
“هجمات ممتدة لعدة سنوات”
وفي عمليات اختراق نُسبت إلى مجموعة “إعصار الملح”، أفاد مسؤولون أميركيون بأن قراصنة اخترقوا شركات مثل AT&T وVerizon، إلى جانب 7 شركات اتصالات أميركية أخرى، حيث جمعوا بيانات شخصية تخص ملايين الأميركيين، واستهدفوا هواتف المرشح الرئاسي دونالد ترمب، ونائبه في حملته جي دي فانس، ونائبة الرئيس آنذاك كامالا هاريس.
وقالت لورا جالانتي، مديرة مركز دمج معلومات التهديدات السيبرانية التابع لمكتب مدير الاستخبارات الوطنية بين عامي 2022 و2024، في إفادة مكتوبة أمام الكونجرس في أبريل، إن هذه الهجمات كانت جزءاً من “عملية ممتدة لعدة سنوات” اخترقت “عدة طبقات من شبكات الاتصالات الكبرى”.
وفي خضم سباق الحكومة وقطاع الاتصالات لمواجهة هذه الهجمات في خريف 2024، عثر محققو الأمن السيبراني على أدلة على وجود اختراق يعود إلى عام 2023، وفقا لما أفاد به أحد الأشخاص المطلعين، موضحا أن هذا الاكتشاف جاء بعد بلاغ من وكالات استخبارات أميركية.
وخلال الاستجابة لهجمات “إعصار الملح”، أوصت أجهزة الاستخبارات الأميركية الشركات بالبحث عن نوع معين من البرمجيات الخبيثة الصينية يُعرف باسم Demodex، حسب ما أفاد 3 أشخاص مطلعين تحدثوا شريطة عدم كشف هويتهم بسبب حساسية المعلومات.
ويُعد Demodex برنامج “روتكيت” Rootkit يمنح القراصنة وصولاً عميقاً وسرياً إلى الأجهزة المصابة. وذكرت عدة شركات أمن إلكتروني في تقارير علنية أن هذا البرنامج استخدمته مجموعة قرصنة صينية استهدفت شركات اتصالات وحكومات في جنوب شرق آسيا.
وربط محلل التهديدات في شركة Recorded Future، آلان ليسكا، برنامج Demodex بمجموعة “إعصار الملح” ومجموعات اختراق أخرى، لافتاً إلى استخدامه في هجمات استهدفت شركات اتصالات في تايلندا وأفغانستان وإندونيسيا.
وقال مايكل فريمان، رئيس قسم استخبارات التهديدات في شركة Armis، إن البرنامج الخبيث طُوّر من قبل موظفين يعملون في شركات تتعاون مع وزارة أمن الدولة الصينية، موضحاً أن شركته تابعت لسنوات نشاط أحد مطوري هذا البرنامج.
وفي اختراق عام 2023، تمكن القراصنة من الوصول إلى أجهزة الحواسيب الخاصة بمسؤولي تقنية المعلومات في الشركة، بحسب ما أفاد به شخصان مطلعان.
وكشف التحقيق أن البرمجية الخبيثة كانت نشطة على أنظمة الشركة حتى أواخر شتاء 2024، وفقاً لتقرير أُرسل إلى وكالات استخبارات أميركية وغربية في أكتوبر الماضي.
ويُعرّف التقرير الشركة التي تعرضت للاختراق بأنها “معروفة بتقديم خدمات لقطاعات الدفاع والسفر واللوجستيات”، من دون ذكر اسمها.
ولا يزال من غير المعروف ما الذي فعله القراصنة بعد اختراقهم الأنظمة، لأن Demodex مصمم لإخفاء آثاره الرقمية.
ويتضمن البرنامج الخبيث شفرة برمجية تعمل على إيقاف تشغيل برنامج الأمان الشائع من مايكروسوفت Defender مؤقتاً، ما يسمح له بإخفاء نفسه ونشاطه اللاحق خلال تلك الفترة، حسبما أفاد التقرير.