تايوان – ٢٥ أغسطس ٢٠٢٥
وفقًا لتقرير حديث صادر عن شركة سيسكو تالوس، تم رصد مجموعة صينية جديدة متخصصة في التهديدات المتقدمة المستمرة (APT)، تستهدف بنشاط مزودي البنية التحتية للإنترنت في تايوان. تسعى المجموعة، التي عُرفت باسم UAT-7237، إلى إنشاء وصول طويل الأمد إلى خدمات استضافة المواقع الإلكترونية الحيوية والبنية التحتية السحابية، مما يثير مخاوف بشأن احتمالية التجسس وسرقة البيانات.
وتضمن التقرير، الصادر في ١٥ أغسطس، تفاصيل عملية اختراق ناجحة لمزود استضافة مواقع إلكترونية تايواني، حيث تمكن الجاني من الوصول إلى شبكة VPN وأنظمة السحابة الخاصة بالضحية. ويشير باحثو الأمن إلى أن الهدف من هذا الهجوم هو اختراق الجهاز المضيف للوصول إلى بيانات عملائه، بما في ذلك الوكالات الحكومية والشركات الخاصة وهيئات البنية التحتية الحيوية. عناوين رئيسية من تقرير التهديدات
* التركيز على الاستمرار طويل الأمد: تُقيّم مجموعة التهديدات المتقدمة المستمرة (APT)، النشطة منذ عام ٢٠٢٢ على الأقل، على أنها مجموعة فرعية من جهة تهديد ناطقة بالصينية تم تحديدها سابقًا، وهي UAT-5918. ومع ذلك، تُظهر تكتيكات UAT-7237 انحرافًا كبيرًا، مع تركيز واضح على إنشاء وصول طويل الأمد خلسةً بدلًا من الاقتحام السريع والاستيلاء.
* استغلال الثغرات الأمنية المعروفة: حصل المخترقون على الوصول الأولي من خلال استغلال ثغرات أمنية معروفة في خوادم غير مُرقعة ومُتاحة للإنترنت، وهي طريقة شائعة لمجموعات التجسس الإلكتروني التي ترعاها الدول.
* استخدام أدوات مفتوحة المصدر: لتجنب الكشف، تعتمد المجموعة بشكل كبير على مجموعة من أدوات القرصنة مفتوحة المصدر والمخصصة، بما في ذلك مُحمّل Shellcode مُصمم خصيصًا يُسمى “SoundBill”.
* استهداف المعلومات عالية القيمة: من خلال اختراق شركة استضافة مواقع إلكترونية، يمكن للمهاجمين فعليًا “الاستفادة من مواردها” والتحرك بشكل جانبي لاستهداف مجموعة واسعة من الكيانات عالية القيمة. تتيح لهم هذه الاستراتيجية جمع بيانات حساسة، بما في ذلك الملكية الفكرية، من عملاء الشركة المضيفة دون الحاجة إلى شن هجمات فردية ضد كل عميل.
* التجسس وسرقة البيانات: يُعتقد أن دافع هذه الهجمات هو التجسس الإلكتروني، مع إمكانية تسريب البيانات على نطاق واسع. يُسلط التقرير الضوء على اهتمام المجموعة باستخراج بيانات الاعتماد وتخطيط الشبكات للانتقال إلى أنظمة إضافية.
تقع هذه الهجمات الإلكترونية في ظل تصاعد التوترات الجيوسياسية بين الصين وتايوان. وقد أفاد مكتب الأمن القومي التايواني بارتفاع كبير في الهجمات الإلكترونية المنسوبة إلى قراصنة مدعومين من الدولة الصينية في عام 2024، مع أهداف تشمل الاتصالات والنقل والشبكات الحكومية. يمثل استهداف شركات استضافة المواقع الإلكترونية جبهة جديدة، ومثيرة للقلق بشكل خاص، في هذا الصراع الرقمي، لأنه يوفر نقطة دخول واحدة لمجموعة واسعة من البيانات الهامة والحساسة. ويشكل هذا الحادث تحذيرًا قويًا للمؤسسات في تايوان وحول العالم للحفاظ على بروتوكولات أمنية صارمة، بما في ذلك التصحيح المنتظم للأنظمة، وتقييد الوصول إلى الشبكة، وتنفيذ المصادقة متعددة العوامل.
