تستخدم مجموعات القرصنة الصينية المرتبطة بالهجمات السيبرانية واسعة النطاق واختراقات البنية التحتية الحيوية الشبكات الحاسوبية السرية لعملياتها، وفقًا لتقرير أمني صادر عن الحكومة البريطانية تم نشره يوم الخميس.
يوفر التقرير الصادر عن المركز الوطني للأمن السيبراني في لندن تفاصيل جديدة حول كيفية انتقال الفاعلين السيبرانيين الصينيين مؤخرًا من استخدام الأنظمة السيبرانية المحلية إلى طريقة جديدة لتغطية التجسس واختراقات البنية التحتية باستخدام شبكات من الأجهزة الحاسوبية المقرصنة.
يعد التقرير البريطاني أحدث مؤشر على أن الجهود الأمريكية والدولية لمواجهة عمليات القرصنة الصينية الواسعة النطاق كانت غير فعالة – رغم العديد من التقارير والمعلومات العامة التي تحدد مجموعات وأنشطة مرتبطة بشكل رئيسي ببكين.
يعتقد عملاء مكافحة التجسس السيبراني أن الغالبية العظمى من القراصنة المرتبطين بالصين يستخدمون “شبكات سرية” متعددة، تُعرف أيضًا باسم “بوت نت”، والتي يتم تحديثها بشكل متكرر ويتشارك فيها عدة مجموعات، حسبما ذكر التقرير.
قال بول تشيشتر، مدير العمليات في المركز الحكومي: “تمثل عمليات البوت نت تهديدًا كبيرًا للمملكة المتحدة من خلال استغلال نقاط الضعف في الأجهزة المتصلة بالإنترنت اليومية، مما يجعلها قادرة على تنفيذ هجمات سيبرانية واسعة النطاق.”
قال إل. جي. إيدز، محلل الاستخبارات الاستراتيجية في شركة “داتا آبيس”، إن التقرير يكشف عن استراتيجية متعمدة من قِبَل الحزب الشيوعي الصيني يسعى من خلالها إلى التغلغل في البنية التحتية الرقمية لخصومه.
قال السيد إيدز: “تسلط هذه المشورة الضوء أيضًا على تحول واضح من التجسس السيبراني التقليدي إلى التهيئة المسبقة لعمليات تع disrupt لا disruptive.”
أضاف: “ما نشهده … يتماشى مع عقيدة الهجوم السيبراني المتطورة للبنتاغون: تشكيل ساحة المعركة مسبقًا، وتعريض البنية التحتية الحيوية للخطر، وتمكين خيارات هجومية سيبرانية يمكن تفعيلها في أزمة.”
إعلان
تم تحديد تغيير التكتيكات على مدار السنوات القليلة الماضية، وعلى الرغم من أنه ليس جديدًا، إلا أنه يساعد على زيادة الأنشطة السيبرانية الخبيثة، حيث يستخدم الفاعلون الصينيون “الآن بشكل استراتيجي، وعلى نطاق واسع”، حسبما ذكر التقرير.
تشير التقارير المنشورة بالإجماع من 15 جهاز استخباراتي وأمني متحالف في آسيا وأوروبا، بما في ذلك وكالة الأمن القومي وFBI، إلى أن “هذه الشبكات تتكون بشكل رئيسي من أجهزة توجيه صغيرة لمكاتب المنزل (SOHO)، بالإضافة إلى أجهزة إنترنت الأشياء (IoT) والأجهزة الذكية”.
ذكر التقرير: “يمكن أن يتأثر أي شخص هو هدف لفاعلي القرصنة المرتبطين بالصين من خلال استخدام الشبكات السرية.”
تم تحديد مجموعات القرصنة الصينية من قبل المحققين الحكوميين الأمريكيين على أنها تقوم باختراقات واسعة النطاق لشبكات القطاعين الحكومي والخاص في الولايات المتحدة وحول العالم.
تحدد التقرير مجموعتين من القراصنة الصينيين المرتبطين بالحكومة الصينية يستخدمان الشبكات السرية في هجماتهما، فولت تايفون وفلاكس تايفون، وواحدة من البوت نت تُسمى رابتور رين من قبل شركات الأمن.
إعلان
تم استخدام “البوت نت” من قبل الفاعلين المدعومين من الدولة الصينية فولت تايفون للتوجه المسبق للقدرات الهجومية السيبرانية على البنية التحتية الوطنية الحيوية، حسبما ذكر التقرير.
وصف المسؤولون الأمريكيون النشاط الذي يقوم به فولت تايفون بأنه من بين مجموعات القرصنة الصينية الأكثر استراتيجية. وتم ربطها بمخططات تشير إلى فتحات خبيثة أو برمجيات في البنية التحتية التي يمكن استخدامها لتخريب أنظمة الاتصالات والطاقة والمياه والنقل في أزمة مستقبلية، مثل النزاع حول تايوان.
تم ربط أنشطتها بقوة الفضاء السيبراني لجيش التحرير الشعبي.
عملت مجموعة صينية ثانية، فلاكس تايفون، من شبكة سرية منفصلة للبنية التحتية المقرصنة في إجراء تجسس سيبراني على نطاق واسع، حسبما ذكر التقرير.
إعلان
فلاكس تايفون تم ربطها من قبل عملاء مكافحة التجسس السيبراني الأمريكيين بعمليات ضد تايوان من خلال اختراق الوكالات الحكومية، والمصنعين الرئيسيين، وشركات تكنولوجيا المعلومات. كما قامت أيضًا باختراق الشبكات في الجامعات، والشركات، ومنظمات الإعلام، والكيانات الحكومية في الولايات المتحدة، وأوروبا، وأفريقيا، وأماكن أخرى.
تُوصف الشبكات السرية في التقرير بأنها وسيلة منخفضة التكلفة ومنخفضة المخاطر للاتصال عبر الإنترنت بطريقة يمكن إنكارها وتخفي الأصل.
استخدم القراصنة الشبكات في كل مرحلة من مراحل التخطيط للهجوم، ما يسمى في التقرير “سلاسل قتل سيبرانية”. تشمل تلك المراحل مسح الشبكات للاستطلاع، وتقديم البرمجيات الضارة، والتواصل مع تلك البرمجيات الضارة، وتهريب البيانات من الضحايا.
كما تُستخدم الشبكات لتصفح الإنترنت بشكل سري، مما يسمح للقراصنة بالبحث عن الأهداف، وتطوير تكتيكات وإجراءات جديدة.
إعلان
يتم أيضًا استخدام بعض الشبكات من قبل عملاء صينيين شرعيين لتصفح الإنترنت، وهي ميزة تجعل من الصعب على وكالات الاستخبارات ربط النشاط بالفاعلين الخبيثين، حسبما ذكر التقرير.
حددت الأدلة التي حصلت عليها وكالات الأمن وجود شبكات سرية تديرها شركات الأمن السيبراني الصينية.
ذكرت FBI أن فلاكس تايفون مرتبط بمجموعة “إنتيغريتي تك” التي تتخذ من بكين مقرًا لها، وهي مقاول للأمن السيبراني تم فرض عقوبات عليها من وزارة الخزانة الأمريكية في يناير 2025.
تُعتبر إنتيغريتي واحدة من عدة شركات أمنية صينية خاصة ظاهريًا تم فرض عقوبات عليها لدورها في الهجمات السيبرانية.
إعلان
من بين الشركات الأخرى المرتبطة ببكين التي تم فرض عقوبات عليها من قبل الولايات المتحدة هي “ووهان شياروو شي” للعلوم والتكنولوجيا، و”سيشوان سايلنس”، و”إنتيغريتي تك”، والتي غالبًا ما تعمل كواجهة لوزارة أمن الدولة، وكالة التجسس المدنية.
حدد NSA شركة “سيشوان جيوكسين هه” للتكنولوجيا وشركة “بكين هوانيو تيانشينغ” للتكنولوجيا كمقاولين حكوميين لعمليات سايبر “سيلت تايفون” الصينية.
تم ربط شركة “غوانغتشو بو يي” للتكنولوجيا، المعروفة باسم “بويوسيك”، من قبل المسؤولين الأمريكيين بشركة “هواوي تكنولوجيز”، وهي شركة اتصالات كبرى، لأغراض استخباراتية.
تم توجيه الاتهام لعدد من موظفي بويوسيك بارتكاب هجمات سيبرانية ضد الولايات المتحدة.
الشبكات التي يستخدمها القراصنة تتكون أساسًا من أجهزة توجيه منزلية مقرصنة، ولكن يمكن أيضًا إضافة أي جهاز تم اختراقه والاستيلاء عليه.
قام القراصنة الصينيون بإنشاء “راaptor ترين” من آلاف أجهزة التوجيه المنزلية المقرصنة وأجهزة إنترنت الأشياء، مثل كاميرات الويب ومسجلات الفيديو، بالإضافة إلى جدران الحماية وأجهزة التخزين الشبكية.
تمثل شبكة سرية أخرى، المعروفة باسم “بوت نت KV” والمستخدمة من قبل قراصنة فولت تايفون، معظمها من أجهزة توجيه “سيسكو” و”نت جير” المقرصنة.
تم استخدام العديد من الأجهزة المقرصنة لأنها كانت قديمة ولم تعد تتلقى تحديثات أو تصحيحات أمنية من قبل الشركات المصنعة.
تم استخدام “راaptor ترين” في عام 2024 من قبل قراصنة فلاكس تايفون الذين أصابوا أكثر من 200,000 جهاز حول العالم. كانت الشبكة تحت سيطرة الشركة الصينية “إنتيغريتي تك” وتم ربطها من قبل FBI بموقع انطلاق لقراصنة فلاكس تايفون.
بالإضافة إلى بريطانيا والولايات المتحدة، أصدرت خدمات الأمن والاستخبارات من أستراليا وكندا وألمانيا واليابان وهولندا ونيوزيلندا وإسبانيا والسويد التقرير بشكل مشترك، والذي تم نشره على الإنترنت بواسطة وكالة الأمن السيبراني وأمن البنية التحتية.
يدعو التقرير جميع مشغلي الشبكات الحاسوبية لمواجهة البوت نت من خلال رسم خرائط للأجهزة وروابطها واستخدام الشبكات الافتراضية الخاصة (VPNs) أو خدمات مماثلة أخرى.
يوصى أيضًا باستخدام مصادقة متعددة العوامل، ويُحث مسؤولو الأمن السيبراني على استخدام أدوات التعلم الآلي لاكتشاف وحظر الشواذ.
