تستهدف مجموعة القرصنة “Earth Estries” الصناعات العالمية في حملات التجسس

تستهدف مجموعة Earth Estries الصينية للقرصنة الصناعات العالمية ببرامج ضارة متقدمة، تستغل الثغرات الأمنية وتقوم بأعمال التجسس على المدى الطويل في القطاعات الحيوية.

لفتت Salt Typhoon الأنظار مؤخرًا بسبب حملة التجسس المرتبطة بالصين التي تسببت في تعطيل عمالقة الاتصالات الأمريكية مثل Verizon و AT&T و Lumen Technologies و T-Mobile، كما ذكر The Record. أفادت التقارير بأن المهاجمين تمكنوا من الوصول إلى بيانات مكالمات العملاء، مع التركيز على الأفراد المرتبطين بالأنشطة الحكومية أو السياسية.

في يوم الاثنين، أبلغت شركة الأمن السيبراني ترند مايكرو عن حملة أخرى مرتبطة بـ Earth Estries، مصطلحهم لـ Salt Typhoon، والتي تستهدف شركات الاتصالات في جنوب شرق آسيا بأداة جديدة للتجسس تُسمى GhostSpider.

وقد كانت مجموعة التجسس السيبراني الصينية، Earth Estries، تستهدف الصناعات الحيوية عالميًا، بما في ذلك قطاعات الاتصالات والحكومة، منذ عام 2023.

تمكنت المجموعة من التسلل إلى أكثر من 20 منظمة في جميع أنحاء الولايات المتحدة، منطقة آسيا والمحيط الهادئ، الشرق الأوسط، وجنوب أفريقيا، حيث تستخدم تقنيات متقدمة لإجراء عمليات التجسس طويلة الأجل. تتضمن الضحايا أيضًا شركات في صناعات التكنولوجيا، الاستشارات، الكيميائية، والنقل، بالإضافة إلى المنظمات غير الربحية والوكالات الحكومية.

تستغل Earth Estries الثغرات في الخوادم العامة للحصول على الوصول الأولي، باستخدام أدوات النظام الشرعية، المعروفة باسم “الثنائيات المعتمدة على الأرض”، للتحرك بطريقة غير مكتشفة داخل الشبكات.

بمجرد الدخول، يقوم الفريق بنشر برامج ضارة مُخصصة مثل GHOSTSPIDER و SNAPPYBEE و MASOL RAT لإقامة السيطرة واستخراج المعلومات الحساسة.

أظهرت الهجمات الأخيرة أن GHOSTSPIDER، وهو باب خلفي قابل للتعديل، مصمم لتحميل أدوات مختلفة لمهام محددة، مما يتيح للمجموعة تكييف تكتيكاتها أثناء تجنب الكشف. تظهر عمليات المجموعة درجة عالية من التنسيق، مع فرق مختلفة تدير جوانب محددة من حملاتهم.

تشير التداخلات في تكتيكاتهم وأساليبهم وإجراءاتهم مع مجموعات القرصنة الصينية الأخرى إلى أدوات مشتركة، ربما من خلال الأسواق السوداء التي تقدم البرامج الخبيثة كخدمة.

أبرزت التحقيقات في Earth Estries تركيزهم على شبكات الاتصالات والحكومة، حيث يستهدفون عادة أنظمة البائعين للوصول غير المباشر إلى أهدافهم الرئيسية.

في حالة واحدة، استخدموا الروتكيت DEMODEX لاختراق الأجهزة التابعة لمقاول اتصالات رئيسي، مما سمح لهم بتوسيع نطاقهم دون اكتشاف.

يلاحظ المحللون أن عمليات Earth Estries تمتد من الأجهزة الحوافية إلى الأنظمة السحابية، مما يجعلها صعبة التعرف والتخفيف بشكل خاص.

تتضمن تقنياتهم استغلال ثغرات الخادم ونشر أدوات متطورة للحفاظ على الاستمرارية داخل شبكات أهدافهم. يحذر الخبراء من أن أنشطة Earth Estries توضح التعقيد المتزايد للحملات الإلكترونية.

يتم حث المنظمات على تعزيز دفاعاتها الأمنية الإلكترونية من خلال التعامل مع الثغرات المعروفة، ومراقبة نشاط الشبكة، ونشر أنظمة الكشف عن التهديدات المتقدمة لاكتشاف ومنع الهجمات في وقت مبكر من العملية.

تؤكد شركة Trend Micro على ضرورة اتخاذ التدابير الاستباقية حيث تواصل الأرض Estries تطوير استراتيجياتها، مما يشكل تهديدًا خطيرًا للصناعات العالمية والحكومات على حد سواء.