مهاجمون يستخدمون برامج خبيثة لجهاز F5 BIG-IP لسرقة البيانات بشكل خفي على مدى سنوات
مجموعة من المشتبه بهم في الاستخبارات السيبرانية الصينية تُدعى "Velvet Ant" تستخدم برامج ضارة مخصصة على أجهزة F5 BIG-IP للحصول على اتصال دائم بالشبكة الداخلية وسرقة البيانات.
وفقًا لتقرير من Sygnia الذي اكتشف الاختراق بعد أن تم استدعاؤهم للتحقيق في الهجوم السيبراني، أنشأت Velvet Ant عدة نقاط انطلاق باستخدام نقاط دخول متنوعة عبر الشبكة، بما في ذلك جهاز F5 BIG-IP القديم الذي يعمل كخادم تحكم داخلي (command and control - C2).
باستخدام أجهزة F5 BIG-IP المخترقة، تمكنت فرقة المهاجمين من سرقة معلومات حساسة للعملاء والمعلومات المالية من الشركة بشكل خفي لمدة ثلاث سنوات دون اكتشافهم.
الهجوم الذي لاحظته Sygnia بدأ باختراق جهازين قديمين من طراز F5 BIG-IP المستخدمين من قبل المنظمة الضحية كجدار ناري وواق لتطبيقات الويب (WAF)، وموازنة التحميل load balancing، وإدارة حركة المرور المحلية local traffic management.
تم الكشف عن كلا الجهازين عبر الإنترنت وكانا يعملان بإصدارات أنظمة تشغيل ضعيفة. وفقًا لـ Sygnia، تم اختراق كل منهما باستخدام ثغرات معروفة في تنفيذ التعليمات عن بُعد لتثبيت برامج ضارة مخصصة على الأجهزة الشبكية.
بعد ذلك، استخدم المهاجمون هذا الوصول للدخول إلى خوادم الملفات الداخلية حيث نشروا PlugX، وهو حصان طروادة للوصول عن بعد (remote access Trojan - RAT)، والذي يستخدمه المهاجمون منذ أكثر من عقد لجمع البيانات ونقلها إلى خارج النظام.
البرامج الضارة الأخرى التي تم نشرها على جهاز F5 BIG-IP تشمل:
PMCD: يقوم بالاتصال بخادم القيادة والتحكم C&C كل ساعة وتنفيذ الأوامر التي يتلقونها من الخادم عبر 'c shell'، مما يسمح بالتحكم عن بعد.
MCDP: يقوم بالتقاط حزم الشبكة، يتم تنفيذه باستخدام معامل "management mgmt." للبطاقة الشبكية، مما يضمن مراقبة شبكية مستمرة.
SAMRID (EarthWorm): برنامج SOCKS proxy tunnel مفتوح المصدر يستخدم لإنشاء أنفاق آمنة، تم استخدامه سابقًا من قبل مجموعات مدعومة من الدولة الصينية.
ESRDE: يشبه PMCD في استخدام 'bash' لتنفيذ الأوامر، مما يسمح بالتحكم في الأوامر عن بُعد والاستمرارية.
استخدم المهاجمون جهاز F5 BIG-IP المخترق للحفاظ على الثبات في الشبكة، مما يسمح لهم بالوصول إلى الشبكة الداخلية مع دمج حركة المرور الهجومية مع حركة المرور الشبكية الشرعية، مما يجعل الكشف أكثر صعوبة.
يتجاوز هذا الأسلوب جدران الحماية النارية في الشركات ورفع قيود حركة المرور الصادرة، مما يتيح للمهاجمين سرقة معلومات العملاء والمعلومات المالية دون إثارة أجراس الإنذار لمدة تقارب الثلاث سنوات.
تقارير Sygnia تشير إلى أنه على الرغم من الجهود الواسعة للقضاء على الاختراق بعد اكتشافه، قام المهاجمون باستخدام إعادة نشر PlugX بتكوينات جديدة لتجنب الكشف، باستخدام أجهزة داخلية مخترقة مثل أجهزة F5 للحفاظ على الوصول.
التوصيات الدفاعية:
لمواجهة مجموعات التهديد المتطورة والمستمرة مثلVelvet Ant ، يتطلب الأمر نهجًا أمنيًّا شاملًا ومتعدد الطبقات.
توصي Sygnia باتخاذ الإجراءات التالية لاكتشاف الهجمات:
تقيد الاتصالات الصادرة للحد من التواصل مع خوادم القيادة والسيطرة (C&C).
تنفيذ ضوابط صارمة على منافذ الإدارة وتعزيز تقسيم الشبكة.
إعطاء الأولوية لاستبدال الأنظمة التقليدية وتشديد الضوابط الأمنية.
نشر أنظمة EDR قوية مع ميزات مكافحة التلاعب وتمكين إجراءات أمان مثل Windows Credential Guard.
تعزيز الأمان لأجهزة الطرفية من خلال إدارة التصحيحات وكشف التسلل والانتقال إلى حلول مستندة إلى السحابة.
بما أن أجهزة الشبكة على الحافة لا تدعم عادةً حلول الأمان وتُعتبر معرضة للإنترنت، فقد أصبحت أهدافًا شائعة للمهاجمين للحصول على الوصول الأولي إلى الشبكة.
في عام 2023، استغل مهاجمون مرتبطون بالصين ثغرات صفرية في أجهزة Fortinet لتثبيت برمجية خبيثة مخصصة لسرقة البيانات والانتقال إلى خوادم VMware ESXi وvCenter.
بعد أسابيع، استهدفت حملة قرصنة مشتبه بها من الصين أجهزة SonicWall Secure Mobile Access (SMA) التي لم يتم إصلاحها لتثبيت برمجيات ضارة مخصصة.
في أبريل 2023، حذرت الولايات المتحدة والمملكة المتحدة من أن مهاجمي APT28 المدعومين من الدولة الروسية كانوا ينشرون برمجيات ضارة مخصصة باسم 'Jaguar Tooth' على أجهزة توجيه Cisco IOS.
في مايو 2023، تم استغلال أجهزة Barracuda ESG لمدة سبعة أشهر لنشر برمجيات ضارة مخصصة وسرقة البيانات. كان التأثير على هذه الأجهزة واسع الانتشار لدرجة أن شركة Barracuda أوصت بأن تقوم الشركات باستبدال الأجهزة المخترقة بدلاً من محاولة استعادتها.
في الآونة الأخيرة، استغل مهاجمون مشتبه بهم، والذين ترعاهم الدولة، ثغرة صفرية في أجهزة Palo Alto Networks لتثبيت باب خلفي مخصص لاختراق الشبكات الداخلية وسرقة البيانات، وبيانات الاعتماد.
أرسلت شركة F5 البيان التالي بشأن حالة انتهاك المهاجمين لحلولها، كما وصف أعلاه.
تقدر F5 الفرصة للعمل مع أطراف ثالثة لتحديد وحل المشكلات نيابة عن عملائها. بينما تعمل المؤسسات على مواكبة التعقيد المتزايد في بنيتها التحتية والتطور المتزايد للتهديدات السيبرانية المتزايد.
كما أوصت الشركة العملاء بما يلي:
تشغيل أحدث إصدار من البرمجيات لتحسين أمان وأداء أنظمتهم،
عدم تعريض شبكة السيطرة لمصادر غير موثوق بها بما في ذلك الإنترنت،
استخدام أداة BIG-IP iHealth Diagnostic للتحقق من التشغيل السليم لنظامهم وضمان أنه يعمل بأقصى كفاءة.