كيف استغل قراصنة صينيون قواعد جوجل وورك سبيس لسرقة رسائل بحوث ودفاع حساسة لمدة عامين

منذ ما يزيد على عامين، ظلّت مجموعة قرصنة مرتبطة بالصين مختبئة داخل شبكات بحوث طبية وجامعية وعسكرية في أمريكا الشمالية، تلتقط الرسائل الإلكترونية الحساسة دون أن تترك أثراً يُذكر. لم يكن اختراقهم تقليدياً، بل استغلوا ثغرة في أنظمة REDCap – منصة إدارة قواعد البيانات البحثية التي تعتمدها المستشفيات والجامعات – للحصول على بيانات اعتماد الدخول. بعد ذلك، قلبوا قواعد جوجل وورك سبيس، التي تُفترض أنها أداة إدارية مشروعة، رأساً على عقب، فحولوها إلى قناة سرية لسرقة الرسائل التي تحتوي على كلمات مفتاحية محددة. هذا التكتيك، الذي وصفته شركة جوجل بأنه معقد وغير اعتيادي، كشف عن مستوى متقدم من الإبداع في التجسس السيبراني، حيث استغل المهاجمون ميزات موجودة أصلاً لصالحهم بدلاً من الاعتماد على برامج خبيثة تقليدية. لم يكن الهدف مجرد الوصول، بل البقاء غير مرئي لفترة طويلة بما يكفي لجمع معلومات حيوية قد تؤثر على الأمن القومي والبحث العلمي.

الطريقة التي استُخدمت فيها جوجل وورك سبيس كقناة للتسريب تمثل تحولاً في أساليب التجسس الرقمي. بدلاً من الاعتماد على برامج خبيثة خارجية، استغل القراصنة ميزة "قواعد الامتثال للمحتوى" (Content Compliance Rules) في جوجل وورك سبيس، وهي ميزة إدارية مصممة لمسح الرسائل الإلكترونية بحثاً عن كلمات محددة ونسخها أوForwardingها تلقائياً. أنشأ المهاجمون قاعدة جديدة تحمل خطأ إملائياً متعمداً ("Patroit" بدلاً من "Patriot")، ترصد ما يقرب من 150 كلمة مفتاحية وعناوين بريد إلكتروني. عند مطابقة أي رسالة لهذه الكلمات، كانت جوجل وورك سبيس تُعيد إرسال نسخة مخفية (BCC) إلى بريد إلكتروني خاضع لسيطرة المهاجمين. هذه التقنية أتاحت لهم جمع رسائل بريدية حساسة دون الحاجة إلى اختراق حسابات البريد الفردية، مما قلل من فرص اكتشافهم. بعد فترة وجيزة من compromised REDCap servers، تمكن المهاجمون من الوصول إلى حسابات ذات صلاحيات إدارية، مما سمح لهم بتعزيز قبضتهم على الشبكات المستهدفة.

من REDCap إلى جوجل وورك سبيس: كيف بدأ الهجوم؟

بدأ الهجوم بسلسلة من الاختراقات التي استهدفت أنظمة REDCap الخارجية، وهي منصة شائعة في الأوساط الطبية والأكاديمية لإدارة قواعد البيانات البحثية.REDCap، التي طورتها جامعة فاندربيلت، تُستخدم على نطاق واسع في جمع البيانات السريرية والدراسات البحثية، مما يجعلها هدفاً جذاباً للمهاجمين الذين يسعون إلى الوصول إلى معلومات حساسة. لم يكشف تقرير جوجل عن الثغرة المحددة أو الإصدار المتأثر، لكن الشركة أشارت إلى أن المهاجمين استغلوا إصدارات قديمة معروفة بالضعف، وقاموا بمسح شامل للبحث عن أنظمة REDCap غير المحدثة. بعد الوصول الأولي، قام المهاجمون – الذين تُعزى هجماتهم إلى مجموعة تُعرف باسم UNC6508 – بتثبيت برنامج خبيث مخصص أطلقت عليه جوجل اسم "INFINITERED". هذا البرنامج لا يعمل كبرمجية خبيثة مستقلة، بل يتسلل إلى ملفات نظام REDCap نفسها، مما يجعله أكثر صعوبة في الاكتشاف.

بعد تثبيت "INFINITERED"، بدأ المهاجمون مرحلة الاستطلاع الداخلي، حيث جمعوا بيانات اعتماد حسابات قواعد البيانات وخدماتها، بالإضافة إلى حسابات مسؤولي النظام. لم تحدد جوجل المسار الدقيق الذي أدى إلى الحصول على صلاحيات المسؤول، لكن هذا الوصول سمح لهم بتوسيع نطاق اختراقهم داخل الشبكة. مع هذه الصلاحيات، تمكن المهاجمون من إنشاء قواعد جوجل وورك سبيس custom التي تُشغل عملية التسريب. في الوقت نفسه، ظلّ compromised REDCap servers يعمل كجسر بين الشبكة الداخلية والبيئة السحابية لجوجل وورك سبيس. هذا التكتيك demonstrates كيف يمكن للمهاجمين تحويل أدوات إدارة النظام المشروعة إلى قنوات خفية للتجسس، مما يبرز أهمية مراقبة الأنشطة الإدارية داخل الشبكات.

الكلمات المفتاحية والأهداف: ماذا كانوا يبحثون؟

لم يكن اختيار الكلمات المفتاحية عشوائياً، بل كان مدروساً لاستهداف معلومات محددة ذات قيمة استراتيجية. تضمنت قائمة الكلمات المفتاحية التي رصدتها قاعدة المهاجمين ما يقرب من 150 مصطلحاً وعناوين بريد إلكتروني، من بينها مصطلحات متعلقة بالدفاع ("defense", "military"), والبحث الطبي ("clinical trial", "vaccine"), والمصطلحات القانونية ("compliance", "regulatory"). كما شملت قائمة العناوين البريدية أسماء باحثين وموظفين في مؤسسات مستهدفة، مما يشير إلى أن المهاجمين كانوا على دراية مسبقة بالهياكل التنظيمية لهذه المؤسسات. هذا المستوى من الدقة يدل على أن الهجوم لم يكن عشوائياً، بل كان جزءاً من حملة تجسس منظمة تهدف إلى جمع معلومات استخباراتية قيمة.

الرسائل التي تم اعتراضها لم تقتصر على المحتوى النصي فحسب، بل شملت أيضاً المرفقات والملفات المرتبطة بها، مما زاد من خطورة التسريب. في بعض الحالات، تم نسخ رسائل بريد إلكترونية كاملة، بما في ذلك البيانات الحساسة مثل تقارير البحوث أو المراسلات المتعلقة بالتعاون العسكري. هذا التكتيك أتاح للمهاجمين جمع معلومات شاملة دون الحاجة إلى اختراق الأنظمة بشكل مباشر، مما قلل من فرص اكتشافهم من قبل أدوات الأمان التقليدية. كما أن استخدام جوجل وورك سبيس كقناة للتسريب يعني أن الرسائل لم تكن تمر عبر شبكات غير آمنة، بل عبر البنية التحتية القانونية لجوجل، مما جعل عملية المراقبة أكثر تعقيداً.

من هم المستهدفون؟なぜ彼らは医療、学術、軍事分野を狙ったのか

استهدف المهاجمون مجموعة متنوعة من المؤسسات في أمريكا الشمالية، مما يكشف عن استراتيجية واسعة النطاق تهدف إلى جمع معلومات من قطاعات متعددة. تضمنت الأهداف مؤسسات طبية سريرية، ومراكز أكاديمية، ومؤسسات صحية عسكرية، بالإضافة إلى مجموعات ضغط تنظيمية ولجان تنظيمية. في القطاع الطبي، استهدف المهاجمون قواعد البيانات السريرية والدراسات البحثية، مما قد يسمح لهم بالوصول إلى معلومات حساسة تتعلق بالمرضى أو التطورات الطبية. في القطاع الأكاديمي، ركزوا على الأبحاث الجامعية والتعاون الدولي، مما قد يوفر لهم معلومات استخباراتية قيمة حول المشاريع البحثية المتقدمة. أما في القطاع العسكري الصحي، فقد استهدفوا معلومات تتعلق بالتعاون العسكري أو الأبحاث الطبية المتعلقة بالدفاع.

هذا التنوع في الأهداف يشير إلى أن المهاجمين كانوا يبحثون عن معلومات ذات قيمة استراتيجية متعددة الأوجه. على سبيل المثال، يمكن لمعلومات طبية حساسة أن تُستخدم في الضغط على الحكومات أو الشركات، بينما يمكن للأبحاث الأكاديمية أن توفر رؤى حول التطورات التكنولوجية. أما المعلومات العسكرية الصحية، فقد تكون ذات قيمة في سياق الاستخبارات العسكرية أو تطوير الأسلحة البيولوجية. هذا النهج الشامل يدل على أن الحملة لم تكن موجهة نحو هدف واحد، بل كانت частью استراتيجية أوسع تهدف إلى جمع معلومات استخباراتية من مصادر متعددة.

كيف نجحت جوجل في كشف الحملة؟

اكتشاف مثل هذه الحملة يتطلب مزيجاً من المراقبة النشطة وتحليل السلوك المشبوه داخل الشبكات. رصد فريق تهديدات جوجل (Google Threat Intelligence Group) الأنشطة غير الاعتيادية داخل حسابات جوجل وورك سبيس التابعة للمؤسسات المستهدفة، لا سيماCreation of custom content compliance rules التي لم تكن متوقعة من قبل المسؤولين. بعد التحليل، تبين أن هذه القواعد كانت جزءاً من حملة منظمة تهدف إلى سرقة الرسائل الإلكترونية. كما رصد الفريق إنشاء بريد إلكتروني خاضع لسيطرة المهاجمين، والذي تم تعطيله لاحقاً لمنع استمرار التسريب.

لم يكن الكشف سهلاً، حيث استغل المهاجمون تقنيات متقدمة لإخفاء آثارهم. على سبيل المثال، لم يعتمدوا على برامج خبيثة تقليدية، بل استغلوا ميزات النظام المشروعة، مما جعل من الصعب اكتشافهم باستخدام أدوات الأمان التقليدية. كما أنهم حافظوا على مستوى منخفض من النشاط لفترة طويلة، مما قلل من فرص اكتشافهم. هذا الكشف يسلط الضوء على أهمية المراقبة المستمرة للنشاطات الإدارية داخل الشبكات، بالإضافة إلى الحاجة إلى تحديث أنظمة الأمان بانتظام لمنع استغلال الثغرات المعروفة.

الآثار المترتبة: ما الذي يجب أن يفعله المسؤولون عن الأمان؟

على المؤسسات، وخاصة تلك العاملة في القطاعات الطبية والأكاديمية والعسكرية، أن تتخذ خطوات فورية لتعزيز أمانها ضد مثل هذه الهجمات. أولاً، يجب تحديث جميع أنظمة REDCap وأنظمة إدارة قواعد البيانات الأخرى إلى أحدث الإصدارات، مع التأكد من إغلاق أي ثغرات معروفة. ثانياً، يجب مراجعة قواعد جوجل وورك سبيس بانتظام، والتأكد من عدم وجود قواعد غير متوقعة أو مشبوهة، لا سيما تلك التي تتضمن قواعد نسخ الرسائل أوForwardingها. كما يجب مراقبة النشاطات الإدارية، مثل إنشاء حسابات جديدة أو تغيير القواعد، بشكل نشط.

بالإضافة إلى ذلك، يجب على المؤسسات توعية موظفيها حول مخاطر الهجمات المتقدمة مثل هذه، وتدريبهم على التعرف على الأنشطة المشبوهة. كما يجب تفعيل ميزات الأمان المتقدمة في جوجل وورك سبيس، مثل المصادقة الثنائية (2FA) ومراقبة النشاطات غير الاعتيادية. في القطاع العسكري الطبي، يجب تعزيز التعاون مع الجهات الأمنية لتبادل المعلومات حول التهديدات الناشئة. وأخيراً، يجب على المؤسسات إجراء تدقيقات أمنية دورية، لاكتشاف أي ثغرات أو أنشطة مشبوهة قبل أن يتمكن المهاجمون من استغلالها.

ما الذي يمكن أن نتوقعه في المستقبل؟

من المتوقع أن يستمر المهاجمون في استغلال ميزات النظام المشروعة كقناة للتجسس، لا سيما في بيئات السحابة التي توفر أدوات إدارية واسعة النطاق. هذا النهج، الذي يُعرف باسم "Living-off-the-land" (استغلال الأرض الحية)، يزداد شيوعاً بين مجموعات التجسس المتقدمة بسبب قدرته على تقليل فرص الاكتشاف. كما أن استخدام تقنيات مثل الذكاء الاصطناعي لتحليل الرسائل وتحديد الكلمات المفتاحية يمكن أن يزيد من فعالية هذه الهجمات. لذلك، يجب على المؤسسات الاستعداد لمثل هذه التهديدات من خلال تعزيز أدوات المراقبة وتحليل السلوك.

من جانب آخر، من المتوقع أن تزيد شركات التكنولوجيا مثل جوجل من جهودها لكشف مثل هذه الحملات، لا سيما من خلال تحسين أدوات المراقبة وتحليل السلوك المشبوه. كما قد تشهد الأوساط الأمنية تطوير أدوات جديدة لاكتشاف استغلال ميزات النظام المشروعة، مما قد يقلل من فعالية مثل هذه الهجمات في المستقبل. ومع ذلك، سيظل المهاجمون يبحثون دائماً عن طرق جديدة لاستغلال الثغرات، مما يجعل من الضروري على المؤسسات البقاء يقظة ومستعدة لمواجهة التهديدات الناشئة.

الخلاصة: دروس مستفادة من حملة UNC6508

أظهرت حملة UNC6508 كيف يمكن للمهاجمين استغلال ميزات النظام المشروعة وتحويلها إلى قنوات للتجسس، مما يجعل من الصعب اكتشافهم باستخدام الأدوات التقليدية. كما أبرزت أهمية تحديث الأنظمة وإغلاق الثغرات المعروفة، ومراجعة القواعد الإدارية بانتظام، وتعزيز المراقبة النشطة للنشاطات المشبوهة. بالإضافة إلى ذلك، سلطت الحملة الضوء على الحاجة إلى توعية الموظفين وتدريبهم على التعرف على الأنشطة المشبوهة، بالإضافة إلى تعزيز التعاون مع الجهات الأمنية لتبادل المعلومات حول التهديدات الناشئة.

على المدى الطويل، يجب على المؤسسات أن تدرك أن التهديدات السيبرانية تتطور باستمرار، وأن الاستعداد لمواجهة مثل هذه الهجمات يتطلب مزيجاً من التحديث المستمر للأمان، والمراقبة النشطة، والتعاون مع الجهات الأمنية. في عالم يتزايد فيه الاعتماد على السحابة والأدوات الإدارية، يصبح من الضروري أن نكون دائماً في حالة تأهب، لاكتشاف ومنع أي محاولة لاستغلال ثغراتنا قبل أن تتحول إلى كارثة. الحملة التي قادتها مجموعة UNC6508 ليست سوى مثال واحد على كيف يمكن للمهاجمين استغلال أبسط الثغرات لتحقيق أهدافهم، مما يجعل من الضروري على جميع المؤسسات أن تأخذ الأمن السيبراني بجدية أكبر من أي وقت مضى.