نتيجة للدراسة ، وجدت صحيفة وول ستريت جورنال أن هجوم كلود هوبر كان أكثر شمولاً مما كان يعتقد سابقًا.
يبدو أن المتسللين يختبئون في كل مكان.
في واحدة من أكبر المحاولات لتنظيم التجسس الصناعي ، تردد أن المهاجمين تعاونوا مع المخابرات الصينية خلال السنوات القليلة الماضية سرقوا كميات كبيرة من الملكية الفكرية وتفاصيل تتعلق بالحصول على معلومات سرية وسجلات أخرى من العديد من الشركات. لقد تمكنوا من الوصول إلى الأنظمة التي تحتوي على أسرار التنقيب عن طريق Rio Tinto ، وكذلك الأبحاث الطبية غير العامة لشركة الإلكترونيات والرعاية الصحية العملاقة Philips.
لقد دخلوا الأنظمة من خلال مزودي الخدمات السحابية - الغيوم ذاتها حيث قامت الشركات بتخزين بياناتها على أمل أمنهم. بعد اختراق هذه الخدمة ، يمكن للمتسللين الانتقال من عميل إلى آخر دون الكشف عن هويته وبصراحة ، وقاوموا لسنوات محاولات الباحثين لطردهم من هناك.
لأول مرة ، اكتشف باحثو الأمن السيبراني علامات القرصنة في عام 2016 ، وسميوها Cloud Hopper [سحابة هوبر]. في ديسمبر الماضي ،
ألقى المدعون العامون
باللوم على مواطنين صينيين في ذلك. لم يتم اعتقال المشتبه بهم بعد.
وجدت دراسة أجرتها صحيفة وول ستريت جورنال أن حجم هذا الهجوم في الواقع أكبر بكثير مما كان يعتقد سابقًا. إنها تتجاوز 14 شركة غير مسماة مدرجة في لائحة الاتهام ؛ وتمتد إلى العديد من مقدمي الخدمات السحابية الذين لا يقل عددهم عن 10 ، بما في ذلك CGI Group Inc. ، واحدة من أكبر مقدمي الخدمات الكندية ؛ Tieto Oyj ، إحدى شركات تكنولوجيا المعلومات الفنلندية الكبرى ؛ والآلات التجارية الدولية كورب
جمعت وول ستريت جورنال معلومات عن القرصنة والهجمات المضادة التي تنفذها شركات الأمن والحكومات الغربية ، وأجرت مقابلات مع أكثر من عشرة محققين ، وفحصت مئات الصفحات من الوثائق الداخلية وتحقيقات الشركة ، والبيانات التقنية المتعلقة بالتطفل.
وجدت WSJ أنه في شركة Hewlett Packard Enterprise Co. كان كل شيء سيئًا للغاية حتى أن الشركة السحابية لم تلاحظ حتى عودة المتسللين إلى شبكة العميل ، وأعطت ضوءًا أخضر لجميع العملاء.
داخل السحب ، تمكنت مجموعة من المتسللين ، والتي أطلق عليها المسئولون والباحثون الغربيون اسم APT10 ، من الوصول إلى مجموعة كبيرة من العملاء. وجدت دراسة أجرتها وول ستريت جورنال مئات الشركات التي تعمل مع موفري الخدمات السحابية المتأثرة ، بما في ذلك Rio Tinto و Philips و American Airlines Group Inc. و Deutsche Bank AG و Allianz SE و GlaxoSmithKline PLC.
قرأ مدير مكتب التحقيقات الفيدرالي كريستوفر راي تهمة اثنين من المواطنين الصينيين في هجوم سحابة النطاط 20 ديسمبر 2018لا تزال مسألة ما إذا كان المتسللون داخل شبكات الشركات حتى يومنا هذا مسألة مفتوحة. قامت WSJ بفحص البيانات المقدمة من SecurityScorecard ووجدت مئات من عناوين IP حول العالم التي واصلت نقل البيانات إلى شبكة APT10 من أبريل إلى منتصف نوفمبر.
وفقًا للمسؤولين الحاليين والسابقين ، فإن السلطات الأمريكية ، بما في ذلك وزارة العدل الأمريكية ، كانت قلقة بشأن ما إذا كانوا ضحايا هذه الهجمات وما إذا كانت هذه الهجمات تمنح الحكومة الصينية الوصول إلى البنية التحتية الحيوية. في عام 2019 ،
أبلغت رويترز
عن جوانب معينة تهم مشروع التجسس الإلكتروني الصيني.
الآن تدعي حكومة الولايات المتحدة أن APT10 تمكنت من سرقة حالات مفصلة لأكثر من 100،000 من أفراد البحرية الأمريكية.
البحارة في البحرية الأمريكية يشاهدون طائرات EA-18 الهادريدعي الباحثون ، من كل من الحكومة والجهات الخارجية ، أن العديد من أكبر الشركات السحابية قد حاولت إبقاء العملاء في الظلام بشأن ما يحدث على شبكاتهم. قال أحد الباحثين: "لقد كان الأمر أشبه بمحاولة إيقاف الرمال المتحركة".
يشعر مسؤولو وزارة الأمن الداخلي الأمريكي بالإحباط الشديد بسبب مقاومة الشركات السحابية لدرجة أنهم يعملون اليوم على مراجعة العقود الفيدرالية لإجبار الشركات على الخضوع للاستشعار في المستقبل ، كما يقول بعض الأشخاص المطلعين على الموضوع.
ولم يجيب متحدث باسم وزارة الأمن الداخلي الأمريكية على سؤال ما إذا كانت الوزارة قد تم اختراقها أم لا. وزارة العدل لم تستجب لهذا الطلب.
وقال المتحدث باسم HPE آدم باور إن الشركة "عملت بجد لإصلاح تأثير هذه التدخلات على عملائنا" ، وأضاف أن "أمن بيانات المستخدم هو على رأس أولوياتنا".
وقال باور: "إننا ننكر تمامًا جميع مزاعم وسائل الإعلام بأن HPE لم تتعاون مع الحكومة بكل حماسة ممكنة". "كل هذه الادعاءات هي أكاذيب صارخة".
وقال إدوارد باربيني المتحدث باسم شركة IBM إن الشركة تحقق في الحوادث مع الوكالات الحكومية ذات الصلة ، وأضاف: "ليس لدينا دليل على وجود تنازلات بشأن أي بيانات حساسة للشركة. لقد عملنا بشكل فردي مع جميع العملاء الذين أعربوا عن قلقهم ".
يوضح هذا القرصنة الثغرة الأمنية الموجودة في مركز الأعمال العالمية - بعد كل شيء ، تقوم أكبر الشركات في العالم بتخزين كميات متزايدة من المعلومات الحساسة على قدرات مزودي الخدمات السحابية الذين طالما تفاخروا بأمنهم.
رفضت العديد من الشركات التي اتصلت بها محررات WSJ الكشف عما إذا كانت قد تعرضت للهجوم أم لا. قالت الخطوط الجوية الأمريكية إنها تلقت إخطارًا من HPE في عام 2015 بأن "أنظمتها كانت متورطة في حادثة أمنية عبر الإنترنت" وأنها "لم تجد أي دليل على انتهاك الأنظمة أو البيانات".
قالت شركة Philips أن الشركة كانت على دراية بمحاولات القرصنة التي يمكن أن ترتبط بأنشطة APT10 ، وأنه "تم اليوم قمع كل هذه المحاولات بشكل مناسب."
وقال متحدث باسم أليانز إن الشركة "لم تجد أدلة" على وجود APT10 في أنظمتها.
ولم تعلق GlaxoSmithKline و Deutsche Bank و Rio Tinto و Tieto. لم تتلقى المجموعة الاستشارية لاندونيسيا استجابة لطلبات عديدة. الحكومة الصينية لم تستجب لهذا الطلب. في الماضي ، نفت بالفعل اتهامات القرصنة.
أشباح
يقول الباحثون أن Cloud Hopper أصبحت التكنولوجيا الجديدة لـ APT10 (Advanced Persistent Threat ، إحدى مجموعات الهاكرز الصينية الأكثر مراوغة). "تذكر تلك النكتة القديمة حول سبب حاجتك لسرقة بنك؟ قالت آن نيوبيرغر ، رئيسة الأمن السيبراني التابعة لوكالة الأمن القومي. "لأن المال موجود".
تم تعقب APT10s المتعلقة بالأمان لأكثر من عقد من الزمان ، في حين قامت الأخيرة بتوجيه الحكومات والشركات الهندسية وشركات الطيران والاتصالات. تظل العديد من المعلومات حول هذا الفريق سرية ، على الرغم من أن النيابة الأمريكية قد اقترحت أن عددًا من أعضائها على الأقل يعملون لدى وزارة الأمن الداخلي الصينية.
لاقتحام الخدمات السحابية ، يقوم المتسللون أحيانًا بإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى المسؤولين ذوي الوصول العالي. في بعض الأحيان قاموا باختراقهم من خلال أنظمة المقاولين ، كما يقول الباحثون.
كان Rio Tinto واحدًا من الأهداف الأولى وأرنبًا تجريبيًا ، وفقًا لادعاءات شخصين مطلعين على هذه القضية. تم اختراق الشركة العاملة في مجال النحاس والماس والألومنيوم وخام الحديد واليورانيوم من خلال شركة CGI التي توفر السحابة في عام 2013.
منجم ريو تينتو في هارو ، كاليفورنيا.ما لم يتمكن المتسللون من الحصول عليه غير معروف ، لكن أحد الباحثين المطلعين على هذه القضية قال إن هذه المعلومات يمكن استخدامها لشراء العقارات في تلك الأماكن التي تخطط شركات التعدين للبدء في تطويرها.
وقال أورين باليفودا ، وهو عميل خاص بمكتب التحقيقات الفيدرالي يحقق في سحابة هوبر ، في مؤتمر أمني عقد في نيويورك مؤخرًا إن فريق APT10 كان يعمل مثل الأشباح في السحب. وقال "لقد بدوا بشكل أساسي مثل بقية حركة المرور". "وهذه مشكلة كبيرة وكبيرة."
كان كريس ماكونكي ، كبير الباحثين في مجال الأمن السيبراني في شركة برايس ووترهاوس كوبرز في لندن ، أحد أوائل من اكتشفوا نطاق عمليات APT10. أثناء التدقيق الأمني الروتيني في شركة استشارية دولية في أوائل عام 2016 ، ظهرت نقاط حمراء فجأة على شاشات العرض ، مما يشير إلى وقوع هجوم جماعي.
في البداية ، قرر فريقه أن هذا الهجوم كان مجرد حالة معزولة غير عادية ، حيث اخترق المتسللين عبر السحابة ، وليس من خلال الشركة نفسها. ومع ذلك ، بدأوا في تلبية نمط مماثل مع العملاء الآخرين.
وقال ماكونكي: "عندما تدرك أن هناك العديد من هذه الحالات - وأن المهاجمين يفهمون حقًا ما الذي حصلوا عليه وكيفية إساءة استخدامه - فأنت تفهم خطورة العواقب المحتملة". ولم يذكر شركات أو مزودي خدمات معينين.
قام فريق ماكونكي - مجموعة واحدة بإيقاف الوصول إلى الأشرار ، وجمعت المجموعة الأخرى معلومات حول الاختراقات وتقييم الأماكن التي لا يزال بإمكان المتسللين الوصول إليها - عمل في أرضية آمنة ، لا يمكن الوصول إليها إلا على المصاعد الفردية.
كريس ماكونيعلموا أن المتسللين يعملون في فرق. قام فريق الثلاثاء ، كما أسماه ماكونكي ، بزيارة الخدمات للتأكد من أن جميع أسماء المستخدمين المسروقة وكلمات المرور الخاصة بهم لا تزال تعمل. غالبًا ما ظهرت مجموعة أخرى بعد بضعة أيام ، وسرقت البيانات المستهدفة.
يستخدم المتسللون أحيانًا شبكات الضحايا كمواقع تخزين للبيانات المسروقة. اكتشفت إحدى الشركات فيما بعد أنها تخزن المعلومات من خمس شركات مختلفة على الأقل.
في الأشهر الأولى من العمل ، بدأت مجموعة ماكوني في تبادل المعلومات مع شركات الأمن الأخرى ، والتي بدأت تتصادم مع الأشباح. قام المهاجمون أحيانًا بمضايقة الصيادين عن طريق تسجيل أسماء النطاقات لحملاتهم مثل gostudyantivirus.com و originalspies.com.
وقال مايك مكليلان ، مدير أبحاث الأمن في شركة سيكيوركس: "لم أشاهد فقط مجموعات APT الصينية تسخر من الباحثين بقوة شديدة". وأضاف أنه في بعض الأحيان APT10 غالبا ما تتضمن عبارات مسيئة في البرامج الضارة لها.
كانت HPE واحدة من أهم ضحايا المتسللين ، حيث قدمت خدماتها السحابية لخدمات الأعمال بيانات من آلاف الشركات من عشرات البلدان. يقوم أحد العملاء ، وهو Philips ، بإدارة 20.000 تيرابايت من البيانات ، بما في ذلك كميات هائلة من المعلومات المتعلقة بالباحثين الإكلينيكيين وبيانات التطبيق للأشخاص المصابين بالسكري ، كما هو موضح في فيديو إعلاني منشور على Twitter في HPE في عام 2016.
كان APT10 يمثل مشكلة خطيرة لـ HPE منذ عام 2014 على الأقل - والشركة لا تخبر العملاء دائمًا بمدى خطورة المشكلة في السحب ، وفقًا للأشخاص المطلعين على هذا الموضوع.
خزانة الخادم في HP Enterprise في Boeblingen ، ألمانيا.ومما يعقد هذا أن المتسللين تمكنوا من الوصول إلى فريق الشركة المسؤول عن الإبلاغ عن حوادث الإنترنت ، كما يقول العديد من الأشخاص المطلعين على القضية. وبينما عملت HPE على تنظيف الإصابات ، راقب المتسللون الشركة ودخلوا الأنظمة التي تم تنظيفها ، وبدأوا دورة جديدة ، كما قال أحد الأشخاص.
وقال باور ، المتحدث باسم HPE: "لقد عملنا بجد من أجل القضاء على عواقب الغزو حتى كنا مقتنعين بأننا قمنا بالتخلص التام من آثار المفرقعات في النظام".
في هذه العملية ، قادت HPE قسم السحابة إلى شركة منفصلة ، DXC Technology. أبلغت HPE في السجلات العامة عن عدم وجود أي ثغرات أمنية قد تترتب عليها تكاليف مادية.
وقال المتحدث باسم DXC ريتشارد آدمونيس إنه "لم تقع حوادث أمنية عبر الإنترنت من شأنها أن تؤثر سلبًا على الأصول الملموسة لـ DXC أو عملائها".
قال متحدث باسم Philips إن الخدمات التي تقدمها HPE "لا تتعلق بتخزين بيانات المرضى أو إدارتها أو نقلها".
رفض
بدأت أول ردود فعل جدية في الظهور في عام 2017. انضم فريق متنامٍ من المقاتلين إلى العديد من شركات الأمن ومقدمي الخدمات السحابية المتأثرين بالهجمات وعشرات الضحايا.
غيّرت الشركات السحابية ، التي رفضت في البداية مشاركة المعلومات ، رأيها وبدأت في التعاون بعد الضغط عليها من قبل الحكومات الغربية ، كما قال العديد من الأشخاص المطلعين على الوضع.
بادئ ذي بدء ، أضاف الباحثون إدخالات وهمية إلى تقويمات المديرين التنفيذيين للشركة في أنظمة الضحية بحيث يكون لدى المتسللين انطباع خاطئ بأن المديرين التنفيذيين كانوا يغادرون لعطلة نهاية الأسبوع. وقد تم ذلك بحيث يعتقد المتسللين أن الشركة لم تشك في أي شيء. بعد ذلك ، توصل الباحثون فجأة إلى أنظمة خارج فترة العمل المعتاد للقراصنة وقطعوا وصولهم بحدة عن طريق إغلاق الحسابات للخطر وعزل الخوادم المصابة.
عاد APT10 سريعًا ، حيث هاجم ضحايا جدد ، بما في ذلك العديد من الشركات المالية.
أحد الأهداف الجديدة كان IBM ، الذي يقدم خدمات سحابية للعديد من شركات Fortune 500 ، وكذلك للوكالات الحكومية الأمريكية مثل مكتب الخدمات العامة ، ووزارة الداخلية ، والجيش.
كشك IBM في معرض CeBIT في هانوفر ، ألمانيا ، 2018.وقال متحدث باسم إدارة الخدمات العامة إن الوكالة تعمل مع العديد من الشركات السحابية ، وتعرف على Cloud Hopper ، وأنها "تتعامل بحذر مع التهديدات الأمنية". ولم تعلق وزارة الداخلية الأمريكية والجيش الأمريكي على الموقف.
لا يُعرف سوى القليل جدًا عما حدث في IBM. تعلم القراصنة إخفاء أفضل وإعادة توجيه هجماتهم من خلال سلاسل من عدة خوادم. وصف المسؤولون الأمريكيون الشعور بالهلع الذي استولوا عليه في عامي 2017 و 2018 ، عندما علموا بالاختراقات الجديدة التي قامت بها APT10. أصبح الوضع حرجًا للغاية بحيث اضطروا إلى إصدار تحذير عام بأن المتسللين قد تسللوا إلى أهم البنى التحتية في البلاد ، بما في ذلك تكنولوجيا المعلومات والطاقة والرعاية الصحية والتصنيع.
ظلت إدارة ترامب تفكر منذ عدة أشهر في كيف ستبدو القضية ضد المتسللين ، وما يمكن أن يقوله الجمهور ، وكيف سيؤثر ذلك على التبادل. يقول مسؤولون أمريكيون سابقون على دراية بالدراسة إنهم كانوا يأملون في البداية في فرض عقوبات على الصينيين المرتبطين بالهجوم ، وقاموا بتسمية نصف دزينة من المواطنين الصينيين ، بما في ذلك بعض الصينيين الذين لهم صلة مباشرة بمخابرات البلاد.
نتيجة لذلك ، تم تسمية شخصين فقط. قال المخبرون المقربون إن أي عملية مثل Cloud Hopper تتطلب أكبر عدد ممكن من الأشخاص ، بما في ذلك المطورون ومشغلو الاختراق واللغويون للعمل مع المواد المسروقة.
من بين هذين ، هناك القليل من المعلومات حول Zhu Hua ، المعروفة على الإنترنت باسم Godkiller. ربط الباحثون شخصًا آخر ، تشانغ شيلونج ، المعروف باسم دارلينج دراجون ، بحساب على وسائل التواصل الاجتماعي ، والذي نشر تعليمات حول كيفية تعلم القرصنة.
كلاهما ، على الأرجح ، لا يزالان في الصين ، ويمكن أن ينتهي بهم المطاف في سجن أمريكي لمدة تصل إلى 27 عامًا بسبب التآمر والاحتيال وسرقة الهوية. لكن الولايات المتحدة ليس لديها معاهدة لتسليم المجرمين مع الصين ، ولم يتمكن محرري وول ستريت جورنال من الاتصال بهم لتلقي التعليقات.
قال مسؤول سابق بالمخابرات الأمريكية إنه وفقًا للبيانات التي حصلوا عليها في ذلك الوقت ، كان المشغلون الصينيون يحتفلون بشهرتهم وشهرتهم المفاجئة.
اليوم ، لا يُعرف الكثير عن خطط استخدام البيانات المسروقة. بخلاف الهجمات الأخرى ، لا تظهر الإعلانات الخاصة ببيع هذه الجبال من البيانات التجارية القيمة على الإنترنت الظل.
لا تزال هجمات Cloud Hopper مهتمة للغاية بالباحثين الفيدراليين الذين يعملون في مسألة ما إذا كانت هذه الحملة مرتبطة بحالات أخرى من الاختراق الكبير في البنية التحتية للشركات ، حيث كان الصينيون أيضًا مشتبه بهم.
لا تزال الأرقام النهائية للحملة - حجم الوصول إلى الشبكات والكمية الدقيقة من البيانات المسروقة - غير معروفة من قبل الباحثين أو السلطات الغربية.
على الرغم من أن المسؤولين الأمريكيين وشركات الأمن يقولون إن نشاط APT10 قد انخفض مقارنة بالعام السابق ، إلا أن التهديد لمقدمي الخدمات السحابية لا يزال كما هو. أفاد باحثو Google مؤخرًا أن المتسللين ، الذين من المفترض أن تمولهم الحكومة الروسية ، حاولوا اختراق مزودي خدمات التحكم عن بعد ، الذين اختارهم المهاجمون أيضًا كهدف لهم.
وقال لوك ديمبوسكي ، نائب مساعد المدعي العام السابق للأمن القومي: "سأشعر بالصدمة عندما علمت أنه لا يمكنك اليوم العثور على العشرات من الشركات التي لا تشك في أن APT10 قد اخترقت شبكتها أو لا يزال بإمكانها الوصول إليها". تعمل الآن مع الشركات التي هوجمت من قبل مجموعات مختلفة ، بما في ذلك APT10.
"السؤال الوحيد هو ماذا يفعلون هناك؟ سعيد ماكوني.
"لم يذهبا إلى أي مكان." فقط ما يفعلونه في الوقت الحالي ، نحن لا نرى ".