هجمات إلكترونية صينية مشتبه بها على عملاء سريين أميركيين

استغل قراصنة ثغرة أمنية جديدة في برنامج Versa Director - وهو برنامج يستخدمه مزودو خدمات الإنترنت على نطاق واسع لتأمين عمليات الشبكة - مما أدى إلى تعريض العديد من شركات الإنترنت في الولايات المتحدة والخارج للخطر، وفقًا لشركة Black Lotus Labs، قسم أبحاث التهديدات في شركةلومين تكنولوجيز .

لومين يشتبه في أن الهجمات قدأصلها من الصين .

وأشار لومين إلى:

"استنادًا إلى التكتيكات والتقنيات المعروفة والمرصودة، تعزو Black Lotus Labs استغلال اليوم صفر لـ CVE-2024-39717 والاستخدام التشغيلي لغلاف الويب VersaMem بثقة معتدلة إلى الجهات الفاعلة في التهديد التي ترعاها الدولة الصينية والمعروفة باسم Volt Typhoon وBronze Silhouette."

تمكن باحثو لومين من تحديد أربعة ضحايا أمريكيين وضحية أجنبية واحدة، حيث ورد أن الأهداف تشمل أفرادًا حكوميين وعسكريين يعملون متخفين، بالإضافة إلى مجموعات أخرى ذات أهمية استراتيجية.الصين .

وحذر الباحثون من أن هذه الثغرة لا تزال نشطة ضد أنظمة Versa Director غير المرقعة.

سلط براندون ويلز، المدير التنفيذي السابق لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، الضوء على التطور المتزايد فيالهجمات الإلكترونية الصينية ودعا إلى زيادة الاستثمارات في الأمن السيبراني.

وأعرب عن:

"تواصل الصين استهداف البنية الأساسية الحيوية للولايات المتحدة. ومن الواضح أن الكشف عن جهودها في مجال التايفون أدى إلى تغييرات في التكتيكات والأساليب التي تستخدمها، ولكننا نعلم أنها تواصل كل يوم محاولة المساس بالبنية الأساسية الحيوية للولايات المتحدة".

أكدت شركة Black Lotus Labs على خطورة الثغرة الأمنية وحثت المؤسسات التي تستخدم Versa Director على الترقية إلى الإصدار 22.1.4 أو أحدث.

الصين تنفي الإدعاءات

الصين وقد نفت مجموعة "Volt Typhoon" هذه الاتهامات، مؤكدة أن هذه المجموعة هي في الواقع مجموعة إجرامية إلكترونية ترتكب جرائم فدية، وتشير إلى نفسها باسم "القوة المظلمة" ولا ترعاها أي دولة أو منطقة.

وقد أصدر المتحدث باسم السفارة ليو بينجيو هذا النفي، وأكده المتحدث باسم وزارة الخارجية الصينية لين جيان في اتصال مع صحيفة جلوبال تايمز في 15 أبريل.

وبحسب النتائج، استخدم Volt Typhoon غلاف ويب متخصصًا يُعرف باسم "VersaMem" لالتقاط تفاصيل تسجيل دخول المستخدم.

نظرة عامة على عملية استغلال Versa Director ووظيفة غلاف الويب VersaMem

VersaMem عبارة عن قطعة معقدة من البرامج الضارة التي تلتصق بعمليات مختلفة وتتلاعب بأكواد Java الخاصة بالخوادم المعرضة للخطر.

إنه يعمل بالكامل في الذاكرة، مما يجعل اكتشافه أمرًا صعبًا بشكل خاص.

خوادم Versa Director مستهدفة بالاستغلال

ال يستغل واستهدفت هذه الهجمات بشكل خاص خوادم Versa Director، التي يستخدمها عادة مزودو خدمات الإنترنت والخدمات المدارة، مما يجعلها أهدافًا رئيسية للجهات الفاعلة في مجال التهديد التي تتطلع إلى اختراق أنظمة إدارة شبكات المؤسسات.

وأكدت شركة Versa Networks وجود الثغرة الأمنية يوم الاثنين، مشيرة إلى أنه تم استغلالها "في حالة معروفة واحدة على الأقل".

وفقًا لـ Lumen، تم اكتشاف غلاف الويب VersaMem لأول مرة على VirusTotal في 7 يونيو، قبل وقت قصير من الاستغلال الأولي.

لقطة شاشة من VirusTotal لـ VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) تُظهر 0 اكتشافات

تضمنت البرامج الضارة، التي تم تجميعها باستخدام Apache Maven، تعليقات فيالصينية وقد ظلت هذه الفيروسات غير قابلة للاكتشاف بواسطة برامج مكافحة الفيروسات حتى منتصف شهر أغسطس/آب.