استطاعت مجموعة من القراصنة الصينيين، مدعومة من حكومة بلادهم، إيجاد طريقة لتجاوز نظام حماية المصادقة الثنائية لأول مرة. المزيد من التفاصيل نوردها لكم فيما يلي، نقلًا بتصرف عن موقع "Information Age".
وفقًا لتقرير صادر عن شركة الأمن السيبراني الهولندية "Fox-IT"، فإن مجموعة من الهجمات الإلكترونية التي استهدفت جهات حكومية ومقدمي الخدمات، تقف وراءها مجموعة قرصنة إلكترونية تدعى "APT20"، وتتكون من قراصنة مدعومين من الحكومة الصينية. وتعمل هذه المجموعة في القرصنة الإلكترونية منذ ما يقرب من 10 سنوات.
تقف مجموعة قرصنة مدعومة من الحكومة الصينية وراء سلسلة من الهجمات الإلكترونية استهدفت جهات حكومية حول العالم
وعلى مدار العامين الماضيين تتبع باحثو الشركة الهولندية هجمات مجموعة القرصنة الصينية هذه، ليجدوا أنها تستهدف في العادة خوادم الإنترنت كنقطة الدخول الأولى إلى الشبكة، مع التركيز بشكل خاص على منصة JBoss للتطبيقات المؤسسية.
اقرأ/ي أيضًا: لمواجهة حروب الإنترنت القادمة.. جيل جديد من "القراصنة الخلوقين" يتدرب
ويستخدم القراصنة نقاط الضعف للوصول إلى الخوادم المستهدفة، ثم يقومون بتثبيت نصوص برمجية لتنتشر خلال الأنظمة الداخلية، وبعد ذلك يبحثون عن حسابات المسؤولين ليتمكنوا من التوغل داخل النظام.
ومنذ عام 2017، لم يعرف سوى القليل عن تحركات مجموعة APT20، حيث توارت المجموعة عن الأنظار بفضل استخدام الأدوات المثبتة بالفعل على الأجهزة التي تم اختراقها، بدلًا من تصميم برمجيات خبيثة خاصة.
تجاوز حماية المصادقة الثنائية
ما يبعث على القلق فعليًا في أعمال مجموعة القرصنة الصينية، هو قدرتها على تجاوز نظام حماية المصادقة الثنائية. والمصادقة الثنائية عبارة عن إجراء أمان وقائي، واسع الانتشار، يتطلب من المستخدمين إدخال رمز تم إرساله إلى جهاز منفصل من أجل الوصول إلى الحساب.
وفي حين تم تجاوز المصادقة الثنائية باستخدام طريقة قرصنة معقدة، قالت الشركة الهولندية Fox-IT إن مجموعة APT20 فعلت ذلك باستخدام طريقة جديدة لا تتطلب أن يتم خداع المستخدم بواسطة بريد إلكتروني وهمي.
ورغم عدم تأكد الباحثين من الطريقة الدقيقة المستخدمة، إلا أنهم قدموا نظرية حول كيفية وصول القراصنة الصينيين إلى شبكة VPN (شبكة افتراضية خاصة) كانت محمية بمصادقة ثنائية.
كان يمكن للقراصنة القيام بذلك، بسرقة برمجية الحماية RSA SecurID، ثم استخدامها لإنشاء رموز المصادقة الثنائية. وليس من المفترض بأن تكون هذه الطريقة ممكنة، وذلك لأن الحماية تتطلب الوصول إلى جهاز حقيقي مختلف.
وقالت الشركة الهولندية في تقريرها: "كما اتضح لاحقًا، لا يحتاج الجاني إلى الحصول على القيمة المحددة لنظام الضحية، لأن هذه القيمة المحددة يتم فحصها فقط عند استيراد الرمز وليس لها علاقة بالرمز المستخدم لتوليد رموز ثنائية حقيقية".
وأضافت: "وهذا يعني أن الفاعل يمكنه بالفعل تعديل عملية التفقد والتي تتحقق إن كان الرمز المميز الذي تم استيراده قد أنشئ لهذا النظام، أي أنه لا يحتاج إلى عناء سرقة القيمة الخاصة بالنظام على الإطلاق".
ما يعنيه ذلك باختصار أن كل ما على القراصنة فعله للاستفادة من رموز المصادقة الثنائية، هو سرقة برمجية حماية RSA SecurID Software Token وتعديل أمر واحد، وهو ما يؤدي إلى إنشاء رموز أخرى صالحة.
هذا ويُنظر إلى المصادقة الثنائية على أنها أحد أعمدة الأمان عبر الإنترنت، والتي توفر وسيلة للتحقق من هوية المستخدم قبل السماح له بالوصول إلى خدمة ما. وعادة ما تستخدم وسيلة الأمن هذه في الخدمات المصرفية على الإنترنت والبريد الإلكتروني ومواقع التواصل الاجتماعي.
مدعومة من الحكومة الصينية
من جهة أخرى، تؤكد الشركة الهولندية في تقريرها، أن مجموعة APT20 الصينية للقرصنة الإلكترونية، تعمل بموجب تعليمات من الحكومة الصينية.
وقالت الشركة إنها متأكدة بشكل كبير من أن الجهة التي تقف وراء تلك الهجمات هي مجموعة صينية تعمل على الأرجح لدعم مصالح الحكومة الصينية، وأن هؤلاء القراصنة الصينيون مكلفون بالحصول على معلومات لأغراض التجسس.
ما يبعث على القلق فعليًا في أعمال مجموعة القرصنة الصينية، هو قدرتها على تجاوز نظام حماية المصادقة الثنائية
كما حددت شركة Fox-IT الهولندية، ضحايا القراصنة الصينيين في 10 دول، موزعين على مجموعة من القطاعات، بما في ذلك الطيران والرعاية الصحية والمالية والتأمين والطاقة.
اقرأ/ي أيضًا:
الحروب السيبرانية.. تكاليف أقل وخسائر أكبر
زمن الهجمات السيبرانية.. هل عليك أن تخبئ نقودك تحت السرير مجددًا؟