كواليس عملية 'هايلاند': كيف اختبأت 'النملة المخملية' في شاشة تسجيل الدخول لنظام لينكس لعقد كامل

آلية عمل الباب الخلفي

بدلاً من زرع برمجيات خبيثة مخصصة قد تكتشفها برامج فحص الملفات أو أنظمة حماية النقاط الطرفية، قامت مجموعة "النملة المخملية" بتقويض بنية الثقة الخاصة بنظام التشغيل نفسه. عبر عشرات الأجهزة المضيفة، استبدلت المجموعة بشكل منهجي مكونات مصادقة لينكس الأساسية – وبالتحديد وحدة "بي إيه إم" (pam_unix.so) المسؤولة عن التحقق من كلمات المرور، وعددًا من ملفات "أوبن إس إس إتش" (OpenSSH) الثنائية المسؤولة عن الاتصال الآمن – بنسخ مزروعة ومعدلة .

وفر هذا الاستبدال قدرتين من زرعة واحدة:

1. تجاوز بكلمة مرور رئيسية: احتوت الوحدات المزروعة على كلمة مرور سرية ومضمنة في الشيفرة البرمجية. يمكن الوصول إلى أي حساب مستخدم باستخدام كلمة المرور هذه فقط، متجاوزة بذلك عملية المصادقة الطبيعية بالكامل. حتى لو قام المسؤولون بتغيير جميع بيانات اعتماد المستخدمين، كان لا يزال بإمكان المهاجمين الدخول من الباب الأمامي .
2. حصاد صامت لبيانات الاعتماد: تم التقاط كل حدث تسجيل دخول شرعي في الوقت الفعلي. كانت كلمات المرور بصيغتها الواضحة لكل مستخدم يقوم بالمصادقة تُكتب في ملف مخفي يقع في المسار /usr/share/awk/nullfile.awk. سمح هذا للمجموعة بجمع بيانات اعتماد صالحة عبر قاعدة المستخدمين بأكملها دون إحداث أي ضوضاء إضافية على الشبكة .

لماذا فشلت إجراءات التنظيف المعتادة

كتيبات الاستجابة للحوادث التقليدية ليست مصممة لمواجهة عدو قام بإعادة تجميع برمجيات تسجيل الدخول الخاصة بنظام التشغيل لديك. يوضح تقرير سيغنيا سبب فشل المحاولات الأولى العديدة للتنظيف:

• فجوة في التنظيف: سير العمل المعتاد – إزالة الملفات المشبوهة، إنهاء العمليات الخبيثة، تغيير جميع كلمات المرور – لم يكن له أي تأثير على آلية البقاء الأساسية للمهاجم. كانت ملفات pam_unix.so و SSH الثنائية المعدلة ملفات نظام شرعية من جميع النواحي باستثناء منطقها المُجمَّع .
• تمويه البيانات الوصفية: حافظ المهاجمون على أسماء الملفات الأصلية، والمسارات، والطوابع الزمنية، وأحجام الملفات نفسها تقريبًا. أي فحص لسلامة الملفات يعتمد فقط على البيانات الوصفية للملفات – وهو أمر شائع في العديد من بيئات المؤسسات – لم يرَ أي شيء خاطئ .
• عدم جدوى تغيير كلمات المرور: نظرًا لأن كلمة المرور الرئيسية كانت موجودة داخل وحدة المصادقة نفسها، فإن إعادة تعيين بيانات اعتماد كل مستخدم لم تفعل شيئًا لإغلاق الباب أمام العدو .
• تصميم ذاتي الإعادة: أشارت الأدلة التي جُمعت أثناء التحقيق إلى أن الباب الخلفي صُمم للنجاة من جهود الإصلاح الجزئية. إذا قام فريق الأمان بتنظيف عدة أجهزة مضيفة وترك نظام المصادقة مخترقًا على أجهزة أخرى، يمكن للمجموعة التحرك جانبيًا مرة أخرى وإعادة اختراق الأجهزة التي أُعيد بناؤها .

كانت خطوة الإصلاح النهائية من سيغنيا لا لبس فيها: تطلبت الشبكة إعادة بناء كاملة لنظام التشغيل لكل جهاز متأثر من وسائط معروفة بأنها سليمة وقابلة للقراءة فقط. كانت الإزالة الانتقائية للملفات أو إعادة التصوير الجزئية غير كافية .

نمط الحرفة العملياتية

لا يعتمد نجاح "النملة المخملية" على سلاسل هجوم غريبة. بدلاً من ذلك، تُظهر المجموعة دليل عمليات ناضج يركز على الصبر والتمويه في طبقة المصادقة.

العزو والأنشطة ذات الصلة

تعزو سيغنيا عملية هايلاند إلى "النملة المخملية" بدرجة عالية من الثقة، وتربط المجموعة بأهداف تجسس ترعاها الدولة الصينية . تركز المجموعة على المؤسسات الكبيرة في شرق آسيا، لا سيما مزودي خدمات الاتصالات والبنية التحتية الحيوية .

توفر الحملات السابقة والموازية سياقًا إضافيًا. في حالة منفصلة، استخدمت "النملة المخملية" أجهزة F5 BIG-IP القديمة كوسيط للقيادة والتحكم (C2) لمدة ثلاث سنوات على الأقل قبل أن يكشف تحقيق سيغنيا عن النشاط . كما لوحظ قيام المجموعة بنشر برمجيات "بلج إكس" (PlugX) و"شادو باد" (ShadowPad) الخبيثة خلال عمليات اقتحام سابقة، مما يشير إلى مجموعة أدوات واسعة تمتد عبر قدرات مخصصة ومتاحة للعموم .

ما يجب على المدافعين فعله الآن

أهم درس دفاعي من عملية هايلاند هو أن حماية النقاط الطرفية التقليدية وتغيير كلمات المرور ليست كافية عندما تكون بنية المصادقة نفسها غير جديرة بالثقة.

يجب على المدافعين إعطاء الأولوية لمراقبة سلامة الملفات التي تقارن البصمات التشفيرية لملفات النظام الثنائية الحرجة – بما في ذلك /lib/security/pam_unix.so وملفات SSH الخادمة الثنائية – مقابل خطوط أساس معروفة بأنها سليمة، وليس فقط البيانات الوصفية للملفات. كما أن تسجيل جميع أحداث المصادقة مركزيًا إلى نظام خارجي غير قابل للتغيير أمر ضروري، لأن المهاجم الذي لديه صلاحيات كافية يمكنه التلاعب بالسجلات الموجودة على الجهاز نفسه. تبقى المصادقة متعددة العوامل حاجزًا قيمًا، لكنها لا تحمي بشكل مباشر من خدمة "بي إيه إم" المزروعة التي تتجاوز فحوصات المصادقة بالكامل.

تُظهر عملية هايلاند أن أخطر أنواع البقاء لا يبدو كبرنامج خبيث على الإطلاق – بل يبدو مثل شاشة تسجيل الدخول التي تثق بها كل يوم.