يقول باحثون إن قراصنة الحكومة الصينية استهدفوا مزودي خدمة الإنترنت في الولايات المتحدة باستغلال يوم الصفر

اكتشف باحثون أمنيون أن مجموعة من المتسللين المرتبطين بالحكومة الصينية استخدموا ثغرة أمنية غير معروفة سابقًا في البرامج لاستهداف مزودي خدمات الإنترنت في الولايات المتحدة.

كانت المجموعة المعروفة باسم Volt Typhoon تستغل ثغرة يوم الصفر – مما يعني أن صانع البرامج لم يكن على علم بها قبل أن يكون لديه الوقت لتصحيحها – في Versa Director، وهو جزء من البرنامج الذي صنعته Versa Networks، وفقًا للباحثين في Black Lotus Lab، الذي هي جزء من شركة الأمن السيبراني Lumen.

تبيع Versa برامج لإدارة تكوينات الشبكة، ويستخدمها مقدمو خدمات الإنترنت (ISPs) ومقدمو الخدمات المُدارة (MSPs)، مما يجعل Versa “هدفًا مهمًا وجذابًا” للمتسللين، حسبما كتب الباحثون في تقرير نُشر يوم الثلاثاء.

وهذا هو أحدث اكتشاف لأنشطة القرصنة التي تنفذها مجموعة Volt Typhoon، التي يعتقد أنها تعمل لصالح الحكومة الصينية. تركز المجموعة على استهداف البنية التحتية الحيوية، بما في ذلك شبكات الاتصالات والاتصالات، بهدف التسبب في “ضرر حقيقي” في حالة نشوب صراع مستقبلي مع الولايات المتحدة. وشهد مسؤولون حكوميون أمريكيون في وقت سابق من هذا العام بأن المتسللين يهدفون إلى تعطيل أي رد عسكري أمريكي في الغزو المستقبلي المتوقع لتايوان.

كانت أهداف المتسللين، وفقًا لباحثي Black Lotus Labs، هي سرقة واستخدام بيانات الاعتماد الخاصة بالعملاء النهائيين لضحايا الشركات المعرضة للخطر. بمعنى آخر، كان المتسللون يستهدفون خوادم Versa كمفترق طرق حيث يمكنهم بعد ذلك التركيز على شبكات أخرى متصلة بخوادم Versa الضعيفة، حسبما قال مايك هوركا، الباحث الأمني الذي حقق في هذا الحادث، لـ TechCrunch في مكالمة.

اتصل بنا

هل لديك المزيد من المعلومات حول Volt Typhoon أو أنشطة القرصنة الأخرى التي ترعاها الحكومة؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.

وقال هوركا: “لم يقتصر الأمر على الاتصالات فحسب، بل على مقدمي الخدمات المدارة ومقدمي خدمات الإنترنت”. “هذه المواقع المركزية التي يمكنهم الوصول إليها، والتي توفر بعد ذلك وصولاً إضافيًا.” وقال هوركا إن شركات الإنترنت والشبكات هذه هي أهداف بحد ذاتها، “على الأرجح بسبب إمكانية الوصول التي يمكن أن توفرها لعملاء إضافيين”.

وقال هوركا إنه عثر على أربعة ضحايا في الولايات المتحدة، واثنين من مزودي خدمة الإنترنت، وواحد من مزودي الخدمة MSP، ومزود تكنولوجيا المعلومات؛ وضحية واحدة من خارج الولايات المتحدة، وهي مزود خدمة الإنترنت في الهند. ولم تذكر شركة Black Lotus Labs أسماء الضحايا.

أخبر دان ماير، كبير مسؤولي التسويق في Versa، موقع TechCrunch في رسالة بالبريد الإلكتروني أن الشركة قامت بتصحيح يوم الصفر الذي حددته Black Lotus Labs.

“أكدت شركة Versa الثغرة الأمنية وأصدرت تصحيحًا طارئًا في ذلك الوقت. وقال ماير: “لقد أصدرنا منذ ذلك الحين تصحيحًا شاملاً وقمنا بتوزيعه على جميع العملاء”، مضيفًا أن الباحثين حذروا الشركة من الخلل في أواخر يونيو.

وقال ماير لـ TechCrunch أن Versa نفسها كانت قادرة على تأكيد الخلل وملاحظة “مهاجم APT” يستغله.

وقالت شركة Black Lotus Labs إنها نبهت وكالة الأمن السيبراني الأمريكية CISA إلى ثغرة يوم الصفر وحملة القرصنة. وفي يوم الجمعة، أضافت CISA ثغرة اليوم صفر إلى قائمة الثغرات الأمنية المعروفة باستغلالها. وحذرت الوكالة من أن “هذه الأنواع من نقاط الضعف هي ناقلات هجوم متكررة للجهات الفاعلة السيبرانية الخبيثة وتشكل مخاطر كبيرة على المؤسسة الفيدرالية.”