يقدم تسرب برامج التجسس نظرة “الأولى من نوعها” داخل جهود القرصنة التي تبذلها الحكومة الصينية

خلال نهاية الأسبوع، قام شخص ما بنشر مخبأ للملفات والمستندات المسروقة على ما يبدو من مقاول القرصنة التابع للحكومة الصينية، I-Soon.

يمنح هذا التسريب الباحثين في مجال الأمن السيبراني والحكومات المتنافسة فرصة غير مسبوقة للنظر خلف ستار عمليات القرصنة التي تقوم بها الحكومة الصينية والتي يسهلها متعاقدون من القطاع الخاص.

مثل عملية الاختراق والتسريب التي استهدفت شركة Hacking Team الإيطالية لصناعة برامج التجسس في عام 2015، يتضمن تسرب I-Soon وثائق الشركة واتصالاتها الداخلية، والتي تظهر أن I-Soon متورطة في اختراق الشركات والوكالات الحكومية في الهند وكازاخستان وكازاخستان. ماليزيا وباكستان وتايوان وتايلاند وغيرها.

تم نشر الملفات المسربة على موقع مشاركة التعليمات البرمجية GitHub يوم الجمعة. ومنذ ذلك الحين، انهمك مراقبو عمليات القرصنة الصينية في متابعة الملفات بشكل محموم.

وقال جون كوندرا، محلل استخبارات التهديدات في شركة ريكوردد فيوتشر للأمن السيبراني: “يمثل هذا أهم تسرب للبيانات المرتبطة بشركة يشتبه في أنها تقدم خدمات تجسس إلكتروني وتطفل مستهدف لأجهزة الأمن الصينية”.

بالنسبة لجون هولتكويست، كبير المحللين في شركة مانديانت المملوكة لشركة جوجل، قال إن هذا التسريب “ضيق، لكنه عميق”. “نادرًا ما نحصل على مثل هذا الوصول غير المقيد إلى الأعمال الداخلية لأي عملية استخباراتية.”

وكتبت داكوتا كاري، المحللة في شركة الأمن السيبراني SentinelOne، في تدوينة أن “هذا التسريب يوفر نظرة أولى من نوعها على العمليات الداخلية لمقاول قرصنة تابع للدولة”.

وقال ماثيو تارتار، باحث البرامج الضارة في شركة ESET، إن التسرب “يمكن أن يساعد في تهديد محللي Intel بربط بعض التنازلات التي لاحظوها بـ I-Soon”.

كان أحد أوائل الأشخاص الذين تعرضوا للتسريب هو باحث استخبارات التهديدات من تايوان والذي يعرف باسم Azaka. ونشرت أزاكا، يوم الأحد، موضوعًا طويلًا على موقع X، تويتر سابقًا، يحلل فيه بعض المستندات والملفات، التي تظهر مؤرخة حتى عام 2022. وسلط الباحث الضوء على برامج التجسس التي طورتها شركة I-Soon لأجهزة Windows وMac وiPhone وAndroid. بالإضافة إلى أجهزة اختراق الأجهزة المصممة للاستخدام في مواقف العالم الحقيقي والتي يمكنها كسر كلمات مرور Wi-Fi وتعقب أجهزة Wi-Fi وتعطيل إشارات Wi-Fi.

قال أزاكا لـ TechCrunch: “لقد حصلنا نحن الباحثون أخيرًا على تأكيد بأن هذه هي الطريقة التي تسير بها الأمور هناك وأن مجموعات APT تعمل إلى حد كبير مثلنا جميعًا كعمال عاديين (باستثناء أنهم يحصلون على أجور فظيعة)” كبير، أن هناك سوقًا مربحة لاختراق الشبكات الحكومية الكبيرة”. APT، أو التهديدات المستمرة المتقدمة، هي مجموعات قرصنة مدعومة عادةً من قبل الحكومة.

وبحسب تحليل الباحثين، تظهر الوثائق أن آي-سون كان يعمل لصالح وزارة الأمن العام الصينية، ووزارة أمن الدولة، والجيش والبحرية الصينية؛ كما عرضت شركة I-Soon خدماتها وباعتها لوكالات إنفاذ القانون المحلية في جميع أنحاء الصين للمساعدة في استهداف الأقليات مثل التبتيين والأويغور، وهم مجتمع مسلم يعيش في منطقة شينجيانغ غرب الصين.

وتربط الوثائق I-Soon بـ APT41، وهي مجموعة قرصنة حكومية صينية يقال إنها نشطة منذ عام 2012، وتستهدف المنظمات في مختلف الصناعات في مجالات الرعاية الصحية والاتصالات والتكنولوجيا وألعاب الفيديو في جميع أنحاء العالم.

أيضًا، استضاف عنوان IP الموجود في تسرب I-Soon موقعًا للتصيد الاحتيالي، رأت منظمة الحقوق الرقمية Citizen Lab أنه تم استخدامه ضد التبتيين في حملة قرصنة في عام 2019. وقد أطلق باحثو Citizen Lab في ذلك الوقت على مجموعة القرصنة اسم “Poison Carp”.

عثرت أزاكا، بالإضافة إلى آخرين، أيضًا على سجلات محادثة بين موظفي I-Soon والإدارة، وكان بعضها عاديًا للغاية، مثل حديث الموظفين عن المقامرة ولعب لعبة mahjong الصينية الشهيرة القائمة على البلاط.

سلط كاري الضوء على المستندات والمحادثات التي توضح مقدار أو قلة رواتب موظفي I-Soon.

“إنهم يتقاضون 55000 دولار [US] وقال كاري لـ TechCrunch: “بقيمة 2024 دولاراً، لاختراق وزارة الاقتصاد الفيتنامية، هذا ليس مبلغاً كبيراً من المال لهدف كهذا”. “هذا يجعلني أفكر في مدى تكلفة قيام الصين بعملية ضد هدف عالي القيمة. وماذا يقول ذلك عن طبيعة أمن المنظمة”.

ما يظهره التسريب أيضًا، وفقًا لكاري، هو أنه يجب على الباحثين وشركات الأمن السيبراني أن يفكروا بحذر في الإجراءات المستقبلية المحتملة لمجموعات القرصنة المرتزقة بناءً على نشاطهم السابق.

وقال كاري: “إنه يوضح أن سلوك الاستهداف السابق لممثل التهديد، خاصة عندما يكون متعاقدًا مع الحكومة الصينية، لا يشير إلى أهدافه المستقبلية”. “لذلك ليس من المفيد أن ننظر إلى هذه المنظمة ونقول: لقد اخترقوا صناعة الرعاية الصحية فقط، أو اخترقوا صناعة X وY وZ، وقاموا باختراق هذه البلدان”. إنهم يستجيبون لما هؤلاء [government] تطلب الوكالات. وقد تطلب تلك الوكالات شيئًا مختلفًا. قد يحصلون على عمل مع مكتب جديد وموقع جديد.

ولم تستجب السفارة الصينية في واشنطن العاصمة لطلب التعليق.

لم يتم الرد على رسالة بريد إلكتروني تم إرسالها إلى صندوق البريد الوارد الخاص بالدعم في I-Soon. وقال اثنان من موظفي I-Soon المجهولين لوكالة أسوشيتد برس إن الشركة عقدت اجتماعًا يوم الأربعاء وأخبرت الموظفين أن التسريب لن يؤثر على أعمالهم و”مواصلة العمل كالمعتاد”.

في هذه المرحلة، لا توجد معلومات حول من قام بنشر المستندات والملفات المسربة، وقد قام GitHub مؤخرًا بإزالة ذاكرة التخزين المؤقت المسربة من منصته. لكن العديد من الباحثين يتفقون على أن التفسير الأكثر احتمالا هو موظف حالي أو سابق ساخط.

“الأشخاص الذين جمعوا هذا التسريب، أعطوه جدول محتويات. قال كاري: “وجدول محتويات التسريب هو شكوى الموظفين من انخفاض الأجور والظروف المالية للشركة”. “تم تنظيم التسريب بطريقة تؤدي إلى إحراج الشركة.”