چین: حملات مکرر سایبری آمریکا و دزدی اطلاعاتی از چین

انجمن امنیت فضای مجازی چین: سازمان‌های اطلاعاتی آمریکا مکرراً حملات سایبری برای سرقت اطلاعات محرمانه از حوزه صنایع دفاعی و نظامی چین انجام می‌دهند.

منبع: حساب رسمی وی‌چت «انجمن امنیت فضای مجازی چین»

ترجمه مجله جنوب جهانی

انجمن امنیت فضای مجازی چین در تاریخ ۱۰ مرداد ۱۴۰۴ پیامی منتشر کرد مبنی بر اینکه سازمان‌های اطلاعاتی آمریکا مکرراً حملات سایبری برای سرقت اطلاعات محرمانه از حوزه صنایع دفاعی و نظامی چین انجام می‌دهند.

مرکز ملی واکنش اضطراری اینترنت (CNCERT) متوجه شده است که در سال‌های اخیر، سازمان‌های اطلاعاتی آمریکا اهداف اصلی حملات سایبری و سرقت اطلاعات محرمانه خود را به سمت دانشگاه‌ها، مؤسسات تحقیقاتی و شرکت‌های فناوری پیشرفته نظامی چین معطوف کرده‌اند و در تلاشند تا داده‌های تحقیقاتی مرتبط با حوزه نظامی یا داده‌های حساس تولیدی اصلی در مراحل طراحی، تحقیق و توسعه و ساخت را به سرقت ببرند. اهداف هدفمندتر و روش‌ها پنهانی‌تر شده‌اند که به طور جدی امنیت تولید تحقیقاتی و حتی امنیت ملی حوزه صنایع دفاعی و نظامی چین را تهدید می‌کند. از زمان افشای حمله سایبری آژانس امنیت ملی آمریکا (NSA) به دانشگاه پلی‌تکنیک شمال غربی در سال ۲۰۲۲، سازمان‌های اطلاعاتی آمریکا به طور مکرر و آشکارا حملات سایبری برای سرقت اطلاعات محرمانه از حوزه صنایع دفاعی و نظامی چین انجام داده‌اند. در اینجا، دو رویداد نمونه انتخاب و منتشر شده است تا هشدارهای ایمنی برای حوزه‌های مهم صنعتی ارائه شود.

۱. استفاده از آسیب‌پذیری روز صفر سیستم ایمیل مایکروسافت Exchange برای انجام حملات

از ژوئیه ۲۰۲۲ تا ژوئیه ۲۰۲۳، سازمان‌های اطلاعاتی آمریکا از آسیب‌پذیری روز صفر سیستم ایمیل مایکروسافت اکسچنج برای حمله و کنترل سرورهای ایمیل یک شرکت بزرگ و مهم صنایع نظامی به مدت تقریباً ۱ سال استفاده کردند. پس از بررسی، مشخص شد که مهاجمان سرور کنترل دامنه این شرکت را کنترل کرده‌اند و با استفاده از سرور کنترل دامنه به عنوان سکوی پرش، بیش از ۵۰ دستگاه مهم در شبکه داخلی را کنترل کرده‌اند و یک سلاح حمله و سرقت اطلاعات محرمانه برای ایجاد تونل websocket + SSH را در یک سرور اختصاصی کار خارجی شرکت جاسازی کرده‌اند تا کنترل پایدار را محقق کنند. در عین حال، مهاجمان کانال‌های پنهانی متعددی را در شبکه این شرکت برای سرقت داده ایجاد کردند.

در این مدت، مهاجمان با استفاده از IPهای سکوی پرش واقع در کشورهای مختلف مانند آلمان (159.69..)، فنلاند (95.216..)، کره جنوبی (158.247..) و سنگاپور (139.180..) بیش از ۴۰ حمله سایبری انجام دادند و ایمیل‌های ۱۱ نفر از جمله مدیران ارشد این شرکت را سرقت کردند که شامل طرح‌های طراحی مرتبط با محصولات نظامی چین، پارامترهای اصلی سیستم و غیره بود. سلاح‌های حمله‌ای که مهاجمان در دستگاه‌های این شرکت جاسازی کرده بودند، از طریق مبهم‌سازی از نظارت نرم‌افزارهای امنیتی فرار می‌کردند، از طریق انتقال چند لایه ترافیک به هدف حمله به دستگاه‌های مهم شبکه داخلی می‌رسیدند و ویژگی‌های ترافیک مخرب ارتباطات را از طریق روش‌های رمزگذاری عمومی پاک می‌کردند.

۲. استفاده از آسیب‌پذیری سیستم فایل الکترونیکی برای انجام حملات

از ژوئیه تا نوامبر ۲۰۲۴، سازمان‌های اطلاعاتی آمریکا یک شرکت صنایع نظامی در حوزه ارتباطات و اینترنت ماهواره‌ای چین را مورد حمله سایبری قرار دادند. پس از بررسی، مشخص شد که مهاجمان ابتدا از طریق IPهای سکوی پرش واقع در کشورهای مختلف مانند رومانی (72.5..) و هلند (167.172..) با استفاده از آسیب‌پذیری دسترسی غیرمجاز و آسیب‌پذیری تزریق SQL به سیستم فایل الکترونیکی این شرکت حمله کردند و یک برنامه در پشتی حافظه را در سرور فایل الکترونیکی این شرکت جاسازی کردند و سپس یک تروجان را بارگذاری کردند. پس از رمزگشایی بار مخرب حمل شده توسط تروجان، بار مخرب را به فیلتر سرویس Tomcat (پروژه سرور برنامه وب کد منبع باز پشتیبانی شده توسط بنیاد آپاچی آمریکا) اضافه کردند و از طریق تشخیص درخواست‌های مخرب در ترافیک، ارتباط با در پشتی را محقق کردند. سپس، مهاجمان از سرویس ارتقاء نرم‌افزار سیستم این شرکت برای تحویل هدفمند تروجان سرقت اطلاعات محرمانه به شبکه داخلی این شرکت استفاده کردند، بیش از ۳۰۰ دستگاه را هک و کنترل کردند و با جستجوی کلمات کلیدی مانند «شبکه اختصاصی نظامی» و «شبکه اصلی»، داده‌های حساس روی میزبان‌های کنترل شده را به طور هدفمند سرقت کردند.

در موارد فوق، مهاجمان از جستجوی کلمات کلیدی برای بازیابی اطلاعات محرمانه در حوزه صنایع دفاعی و نظامی استفاده می‌کنند که به وضوح در محدوده توجه سازمان‌های هکری در سطح ملی قرار دارد و دارای نیت استراتژیک قوی است. علاوه بر این، مهاجمان از چندین IP سکوی پرش خارجی برای انجام حملات سایبری استفاده می‌کنند و اقداماتی مانند حذف فعالانه گزارش‌ها و تروجان‌ها و تشخیص فعالانه وضعیت دستگاه را انجام می‌دهند تا هویت حمله و اهداف واقعی حمله خود را پنهان کنند که نشان‌دهنده توانایی حمله سایبری قوی و آگاهی پنهانی حرفه‌ای است.

بر اساس آمار، تنها در سال ۲۰۲۴ بیش از ۶۰۰ رویداد حمله سایبری توسط سازمان‌های APT ملی خارجی به واحدهای مهم چین رخ داده است که در این میان، حوزه صنایع دفاعی و نظامی هدف اصلی حملات بوده است. به ویژه سازمان‌های هکری با پیشینه سازمان‌های اطلاعاتی آمریکا، با تکیه بر تیم‌های حمله سایبری سازمان‌یافته، سیستم مهندسی پشتیبانی گسترده، کتابخانه تجهیزات حمله استاندارد و توانایی قوی در تجزیه و تحلیل و کشف آسیب‌پذیری‌ها، زیرساخت‌های اطلاعاتی حیاتی، سیستم‌های اطلاعاتی مهم و پرسنل کلیدی چین را مورد حمله و نفوذ قرار می‌دهند که به طور جدی امنیت سایبری ملی ما را تهدید می‌کند.

​