الحكومة الأمريكية تحذر من أنشطة الصين الخبيثة

مدير عام4 أغسطس 2020آخر تحديث :
الحكومة الأمريكية تحذر من أنشطة الصين الخبيثة

“تايدور” هي أداة للوصول عن بعد تم استخدامها في العديد من حملات التجسس السيبراني منذ عام 2008 على الأقل.

حثت الحكومة الأمريكية اليوم الاثنين منظمات الأعمال على إيلاء “أولوية قصوى” الاهتمام للأنشطة الخبيثة التي تنطوي على “Taidoor” ، وهو حصان طروادة صيني للوصول عن بعد يستخدم في حملات تجسس إلكترونية مختلفة منذ عام 2008 على الأقل.

في تقرير تحليل البرمجيات الخبيثة (MAR) بتاريخ 3 أغسطس ، قالت وكالة الأمن السيبراني والأمن الداخلي التابعة لوزارة الأمن الداخلي الأمريكية أن باحثين أمنيين من عدة وكالات اتحادية لاحظوا أن الجهات الحكومية الصينية تستخدم نوعًا مختلفًا من البرامج الضارة في الهجمات الأخيرة.

يوضح تحليل للنشاط أن المهاجمين يستخدمون متغيرات تايدور بالاشتراك مع خوادم بروكسي للحفاظ على الثبات على الشبكات المعرضة للخطر ولتمكين المزيد من الاستغلال ، وفقًا لـ CISA. تضمن تقرير CISA قائمة كاملة بمؤشرات الحل الوسط واقترح إجراءات التخفيف والاستجابة التي يمكن أن تتخذها المنظمات للحماية من التهديد الذي تمت إعادة تسطيحه حديثًا.

وأشار المستشار إلى أنه “يجب على المستخدمين أو المسؤولين الإبلاغ عن النشاط المرتبط بالبرامج الضارة وإبلاغ النشاط إلى وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أو FBI Cyber ​​Watch (CyWatch)”. “امنح النشاط الأولوية القصوى للتخفيف المعزز.”

تنبيه CISA هو الأحدث الذي ينطوي على نشاط تهديد مرتفع من الجهات الفاعلة في الصين. في الشهر الماضي فقط ، اتهمت الحكومة الأمريكية مواطنين صينيين بتهم تتعلق بسرقة الملكية الفكرية وأسرار العمل ، بما في ذلك بحث COVID-19 من منظمات في الولايات المتحدة وأماكن أخرى. في وقت سابق من هذا العام ، اتهمت الحكومة الأمريكية أربعة أعضاء من الجيش الصيني بزعم تورطهم في اختراق Equifax في مايو 2017. تأتي الاتهامات بعد سنوات من الاتهامات الأمريكية بشأن الجهات الفاعلة في الصين التي تقوم بحملات تجسس منتظمة وواسعة النطاق ضد الشركات الأمريكية والوكالات الحكومية ، الكيانات العسكرية والدفاعية والمؤسسات الأكاديمية.

إن Taidoor هي أداة برامج ضارة أبلغ عنها العديد من بائعي الأمان – بما في ذلك FireEye و Trend Micro و Symantec – على مر السنين. لاحظ الباحثون البرمجيات الخبيثة المستخدمة في حملات التجسس السيبراني التي تستهدف منظمات الشركات ومراكز الفكر والوكالات الحكومية في تايوان ودول أخرى لها مصالح في تايوان ، بما في ذلك الولايات المتحدة.

تهديد كبير
وصف تحليل تقني تفصيلي لـ Trend Micro للبرامج الضارة في عام 2012 برنامج تايدور في ذلك الوقت بأنه يستغل مجموعة واسعة من نقاط الضعف القديمة والجديدة – بما في ذلك صفر يوم في منتجات متعددة بما في ذلك Adobe Reader و Acrobat و Flash Player و Microsoft Word و PowerPoint و Excel . إحدى نقاط الضعف في يوم الصفر التي استغلها تايدور كانت “دودة الرمل” ، وهو خلل تنفيذ التعليمات البرمجية عن بعد في Windows تم الكشف عنه في 2014

في الحملات الأولية ، استخدم الفاعلون الحكوميون المقيمون في الصين وراء تايدور رسائل البريد الإلكتروني التصيدية مع المرفقات الخبيثة لتوزيع البرامج الضارة. تضمنت إحدى حيلهم استخدام مستند خداع من شأنه أن يتصرف كما قد يتوقعه المستلم ، أثناء تنفيذ حمولة ضارة في الخلفية. في الحملات اللاحقة ، توقف مشغلو Taidoor عن استخدام رسائل البريد الإلكتروني لإسقاط البرامج الضارة مباشرة على نظام الضحية. بدلاً من ذلك ، استخدموا رسائل البريد الإلكتروني المخادعة لإسقاط أداة تنزيل على نظام سيخرج لاحقًا ويمسك بالبرامج الضارة من خوادم الأوامر والتحكم عن بُعد. وصف تقرير FireEye لشهر سبتمبر 2013 تطورًا إضافيًا في التكتيكات حيث بدلاً من استضافة البرامج الضارة في خوادم الأوامر والتحكم عن بُعد ، بدأ المهاجمون في استضافتها كنص مشفر في منشورات مدونة Yahoo.

ليس من الواضح تمامًا ما النشاط الخبيث المحدد الذي شارك فيه تايدور أثار التحذير الجديد من CISA هذا الأسبوع. حتى الآن ، على الأقل ، لم يبلغ أي من البائعين الذين سبق لهم تتبع البرامج الضارة عن عودة نشاط تايدور.

وتقول متحدثة باسم FireEye إن الباحثين في الشركة ما زالوا يبحثون عما قد يحدث.

ويضيف بن ريد ، المدير الأول للتحليل في مجموعة Mandiant Threat Intelligence في FireEye: “لقد رأينا Taidoor مستخدمًا على نطاق واسع على مدى السنوات العشر الماضية ، بينما أصبح أقل شيوعًا مؤخرًا ، ونتوقع أنه لا يزال قيد الاستخدام”. وفقًا لقراءة ، لاحظت FireEye البرامج الضارة المستخدمة في الهجمات ضد شركات المحاماة ، وموردي الطاقة النووية ، وشركات الطيران ، وحكومات شرق آسيا ، والشركات الهندسية ، والمنظمات داخل قطاع الصناعات الدفاعية.

لم ترد شركة سيمانتيك على الفور على استفسار حول القراءة المظلمة. وتقول تريند مايكرو إنها تعمل على الحصول على تعليقات من باحثيها في آسيا وأوروبا.

المحتوى ذو الصلة:

VIRTUAL BLACKHAT

 

 

سجل الآن في Black Hat USA الافتراضية لهذا العام ، والمزمع عقده من 1 إلى 6 أغسطس ، واحصل على مزيد من المعلومات حول الحدث على موقع Black Hat الإلكتروني. انقر للحصول على تفاصيل حول معلومات المؤتمر والتسجيل.

جاي فيجايان مراسل محنك في مجال التكنولوجيا لديه أكثر من 20 عامًا من الخبرة في الصحافة التجارية لتقنية المعلومات. كان مؤخرًا محررًا أولًا في Computerworld ، حيث غطى أمن المعلومات ومسائل خصوصية البيانات للنشر. على مدار 20 عامًا … عرض السيرة الذاتية الكاملة

اقتراحات للقراءة:

المزيد من الرؤى

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة