من هي فولت تايفون الصينية التي هاجمت مايكروسوفت؟
تدور حرب سرية بين واشنطن وبكين منذ سنوات تحت عناوين عدة ومن خلف الشاشات، منها حرب "الرقاقات الرقمية" والتجسس والهجمات السيبرانية، والتي يتهم فيها كل طرف الطرف الآخر.
وأحدث تلك الحوادث الهجوم السيبراني الواسع النطاق، الذي أعلنت عنه واشنطن وعدد من حلفائها الغربيين وشركة مايكروسوفت أمس الأربعاء، والذي وجهت فيه أصابع الاتهام إلى مجموعة تدعى "فولت تايفون" زاعمة أنها تحت رعاية الدولة الصينية.
لكن ما هي المعلومات المتوافرة عن هذه المجموعة وما هي أهدافها المعلنة، خصوصاً أن واشنطن وحلفاءها حذروا من هجمات مماثلة قد تحدث في جميع أنحاء العالم.
استهدفت بنى تحتية أميركية
وبحسب المعلومات التي نشرتها مايكروسوفت فإنّ "فولت تايفون" تنشط منذ منتصف 2021 وقد استهدفت عدداً من البنى التحتية الحيوية، من بينها خصوصاً البنية التحتية الحيوية في جزيرة غوام الأميركية، حيث تمتلك الولايات المتّحدة قاعدة عسكرية رئيسية في المحيط الهادئ.
واكتشفت وكالة الأمن القومي تلك الاختراقات في جزيرة غوام في نفس الوقت تقريباً الذي كان بالون التجسس الصيني يتصدر عناوين الصحف لدخوله المجال الجوي الأميركي، وفقا لتقرير نشرته "نيويورك تايمز" في ذلك الوقت.
وكشفت تحقيقات لمايكروسوفت عن شبكة واسعة حاولت التوغل عبر قطاعات متعددة، وتركز بشكل خاص على أهداف النقل الجوي، والاتصالات والنقل البحري والبري.
التخفي والتجسس
ولتحقيق الوصول الأولي لهدفها، تقوم مجموعة "فولت تايفون" بتسوية أجهزة Fortinet FortiGuard المواجهة للإنترنت، وهو هدف شائع للمهاجمين الإلكترونيين.
وبمجرد اختراقها الجهاز، تستخدم امتيازاته لاستخراج بيانات الاعتماد من حساب Active Directory والمصادقة على الأجهزة الأخرى على الشبكة.
كذلك تبدأ بالبحث عن معلومات على النظام، واكتشاف أجهزة إضافية على الشبكة، وسحب البيانات، وفقاً لتحليل نشره موقع "darkreading".
ولتغطية مساراتها، تعمل على إنشاء وكلاء لحركة مرور الشبكة الخاصة بها من خلال أجهزة توجيه وأجهزة طرفية أخرى من ASUS و Cisco و D-Link و NETGEAR و Zyxel، مما يسمح لها بالاندماج في نشاط الشبكة العادي.
تعتمد بيانات صحيحة
وفي معظم الحالات، تصل المجموعة إلى الأنظمة المخترقة عن طريق تسجيل الدخول باستخدام بيانات اعتماد صالحة، كما يفعل المستخدمون المعتمدون.
مع ذلك، في عدد قليل من الحالات، لاحظت مايكروسوفت أن مشغلي "فولت تايفون" ينشئون وكلاء على الأنظمة المخترقة لتسهيل الوصول وينجزون ذلك باستخدام الأمر netsh portproxy المدمج.
تصاعد التوتر
وتصاعد التوتر بين واشنطن وبكين التي تعتبرها وكالة الأمن القومي منافستها العسكرية والاقتصادية والاستراتيجية الرئيسية، في الأشهر الماضية وذلك بعد حادثة بالون "التجسس الصيني" إضافة لملفات أخرى مثل تايوان وبحر الصين الجنوبي.
وتنفي بكين الاتهامات الموجهة لها بشن هجمات سيبرانية أو تنفيذ عمليات تجسس تستهدف كيانات أميركية، متهمة في بيانات سابقة بأن واشنطن هي من تقف وراء الهجمات السيبرانية.
يذكر أن اتهاماً مماثلاً وجهته الولايات المتحدة وحلفاؤها في مارس/آذار 2021، حين اتهمت بكين بالوقوف خلف قرصنة واسعة النطاق استهدفت خدمات "اكسشانج" للمراسلة لمجموعة مايكروسوفت الأمر الذي نفته بكين جملة وتفصيلا.