مجموعة Velvet Ant المرتبطة بالصين تخترق شبكة معزولة وتتخفّى فيها 10 سنوات
مجموعة Velvet Ant المرتبطة بالصين اخترقت شبكة بنية تحتية حرجة معزولة عن الإنترنت وبقيت فيها 10 سنوات، عبر مسار تنفيذ ذكي يربط Nginx وFastCGI وطلبات HTTP.
كشفت شركة الأمن السيبراني Sygnia عن واحدة من أطول حملات التجسّس السيبراني الموثّقة، نفّذتها مجموعة تهديد مرتبطة بالصين تُعرف باسم Velvet Ant، واستمرّت قرابة عشر سنوات داخل شبكة بنية تحتية حرجة دون أن تُكتشَف. الحملة، التي أطلقت عليها Sygnia اسم «عملية المرتفعات» (Operation Highland)، تكشف كيف تمكّن المهاجمون من الوصول إلى شبكة داخلية معزولة عن الإنترنت والبقاء فيها أعوامًا دون إطلاق أيّ إنذار، في إحدى أكثر عمليات الاختراق صبرًا وتطوّرًا.
عشر سنوات من الخفاء
بحسب التحقيق الجنائي، يعود أوّل نشاط للمجموعة إلى عام 2016، وقد أمكن تأريخه بدقّة بفضل سجلّات ضربات لوحة المفاتيح التي خزّنها المهاجمون أنفسهم، إذ كان كل اسم ملفّ يحمل الطابع الزمني للجلسة المقابلة. الضحية منظّمة كبيرة لم تكشف Sygnia عن اسمها ولا قطاعها، لكن الحملة استهدفت بنيتها التحتية الحرجة. واللافت أن المجموعة لم تكن جديدة على باحثي Sygnia؛ فقد رُصدت سابقًا في 2024 على أجهزة F5 BIG-IP، ثم على مبدّلات Cisco Nexus عبر ثغرة يوم صفر، وفي كل مرّة كانت تنتقل إلى بنية أقلّ مراقبة لإعادة بناء وجودها بمجرّد اكتشافها.
كيف وصلوا إلى شبكة دون اتصال مباشر بالإنترنت؟
هنا يكمن الجانب الأكثر إثارة من الناحية التقنية. الشبكة المستهدفة كانت معزولة ومقسّمة (Segregated) دون اتصال مباشر بالإنترنت، وهو ما يُفترض أن يجعلها عصيّة على الوصول عن بُعد. لكن Velvet Ant بنت «جسر تنفيذ» ذكيًا للوصول إليها عبر طلبات HTTP بسيطة فقط.
كان المدخل عبر خادم ويب يعمل ببرنامج Nginx ومكشوف للإنترنت. عدّل المهاجمون إعداداته ليُمرّر أي طلب وارد إلى عنوان محدّد نحو الخادم الخلفي (Backend) نفسه. وكان الخادم الخلفي مخترقًا بدوره، إذ عُدّل إعداد Nginx فيه ليوجّه الطلبات إلى عملية FastCGI (باستخدام أداة fcgiwrap) تستمع على منفذ منفصل. عمل هذا الغلاف بمثابة جسر تنفيذ: يعالج الطلب، ثم يشغّل ملفًّا تنفيذيًّا، ويعيد مخرجاته إلى المهاجم عبر Nginx.
الملفّ التنفيذي، الذي حمل اسمًا مموّهًا بريئًا (uptime)، كان أداة مخصّصة تنشئ اتصال SSH بخادم داخل شبكة البنية التحتية الحرجة، بناءً على معطيات تُرسَل ضمن الطلب. وبتسلسل هذه التعديلات معًا، أنشأت Velvet Ant مسار تنفيذ عن بُعد إلى البيئة المعزولة عبر طلبات HTTP عادية، دون أن تحتاج يومًا إلى اتصال مباشر بالشبكة الحرجة. أي أن الطلبات كانت تتسلّل عبر طبقات الويب المشروعة ظاهريًا حتى تصل إلى قلب الشبكة المحميّة.
اختطاف آلية المصادقة
لم يكتفِ المهاجمون بذلك، بل اخترقوا عمق نظام المصادقة. فقد استبدلوا مكوّنات نظام PAM (وحدات المصادقة القابلة للإضافة) ومكوّنات OpenSSH بنسخ مزروعة بأبواب خلفية. وبما أن PAM يقع أسفل طبقة التطبيقات، فإن إصابته تؤثّر بشفافية على كل خدمة تعتمد عليه دون أن تُحدِث أيّ شذوذ ملحوظ. كما عدّلوا أدوات ssh وsshd وscp لتسجيل بيانات الاعتماد والأوامر وضربات المفاتيح، مشفّرةً في ملفّات زُوّرت طوابعها الزمنية لتندمج مع ملفّات النظام.
وأظهرت الأداة درجة عالية من الحذر التشغيلي: ففي إحدى النسخ، أضاف المهاجمون راية غير موثّقة (d-) إذا فعّلها المشغّلون أثناء جلساتهم الخاصة، لم تُسجَّل بيانات اعتمادهم وضرباتهم، أي أنهم استثنوا أنفسهم من المراقبة التي يفرضونها على الضحية. بل احتوت نسخة قديمة من عُدّة SSH على آلية باب خلفي «دوّار»: سبع قيم تجزئة MD5 مختلفة، واحدة لكل يوم من الأسبوع، تحدّد كلمة المرور التي تمنح الوصول في ذلك اليوم.
ماذا تكشف هذه الحادثة؟
الدرس الأهمّ أن «العزل» عن الإنترنت ليس حصانة مطلقة. فالشبكة المقسّمة قد تظلّ قابلة للاختراق إذا كان هناك مسار غير مباشر، كخادم وسيط مخترق يربط بين العالمين. كما تبرز الحادثة خطورة استهداف طبقات المصادقة العميقة كـ PAM وOpenSSH، التي يثق بها النظام كلّه ضمنيًّا، وصعوبة كشف تهديد يصبر سنوات ويتجنّب الحركة الأفقية الصاخبة التي تُكشف عندها أغلب الاختراقات.
كيف تحمي مؤسستك؟
توصي مبادئ الاستجابة بنهج متعدّد الطبقات. أوّلًا، عدم الاكتفاء بالعزل الشبكي، بل فرض مراقبة مستمرة على الخوادم الوسيطة المكشوفة للإنترنت وتدقيق إعداداتها (مثل Nginx) بحثًا عن تمرير غير مصرّح به. ثانيًا، مراقبة سلامة الملفّات الحسّاسة لنظام المصادقة (PAM ومكوّنات OpenSSH) والتنبيه عند أيّ تعديل عليها. ثالثًا، إجراء عمليات «صيد تهديدات» (Threat Hunting) دورية ومنهجية بدل انتظار الإنذارات، لأن الخصوم الصبورين لا يطلقونها. وأخيرًا، تطبيق ضوابط صارمة على حركة المرور بين الأجزاء المعزولة وغيرها، ومعاملة كل مسار اتصال غير ضروري بوصفه خطرًا محتملًا.
خلاصة
«عملية المرتفعات» نموذج مقلق على صبر التهديدات المتقدّمة المستمرّة وقدرتها على البقاء سنوات في قلب البنى الحرجة. ليست العبرة في تعقيد الأدوات وحده، بل في الفلسفة: اختراق هادئ، واستثناء ذاتي من المراقبة، واستغلال الثقة الضمنية في طبقات النظام العميقة. وهي تذكير صارم بأن الدفاع الحقيقي لا يقوم على افتراض أن العزل كافٍ، بل على مراقبة مستمرة وشكّ منهجي حتى في أكثر الزوايا التي يُظنّ أنها آمنة.