في 16 فبراير/شباط الماضي، سربت وثائق وبيانات مهمة عن شركة برمجيات صينية تدعى "آي. سون" (I-Soon). جاء التسريب على موقع متخصص بالعاملين في تكنولوجيا المعلومات والأمن السيبراني، "جيت هاب" (GitHub)، حيث يشارك المبرمجون أكوادا خاصة بهم وآخر مستجدات الشبكات.
كشف التسريب معلومات نادرة عن تورط الحكومة الصينية في تجنيد شركات القطاع الخاص و"هاكرز" لتنفيذ أجندات سياسية للحكومة، من أبرزها مراقبة أوضاع أقليات إثنية، كمجموعة الإيغور، وأيضا تنفيذ هجمات استخباراتية على عدد من الحكومات الأجنبية أبرزها الهند، تايلاند، فيتنام، وكوريا الجنوبية.
كيف بدأ التسريب وما أهميته؟
هذا التسريب مهم جدا لفهم كيفية عمل الفاعلين الالكترونيين المحسوبين على الحكومة الصينية (APT)، حيث أشارت تقارير إلى وجود صلة بين "آي سون" ومجموعة "APT-41" التي تهاجم أهدافا في صناعات مختلفة، كالقطاع الطبي والاتصالات وشبكات التكنولوجيا منذ عام 2012.
كشفت التسريبات عن إسناد مهمات للشركة من قبل أجهزة أمن صينية، كوزارة أمن الدولة، ووزارة الأمن العام، وأيضا مع جيش التحرير الشعبي
سجل شخص مجهول الهوية دخوله على موقع "جيت هاب" يوم 15 يناير/كانون الثاني من السنة الجارية من خلال إيميل يدعى "[email protected]"، بعدها بنحو شهر نشر ملفات ووثائق مسروقة لشركة متعاقدة مع الحكومة الصينية تدعى "آي سون"، وتعرف أيضا بإسم "أنكزن إنفورمايشن تكنولوجي" (Anxun information technology)، في تسريب يفتح الباب أمام محللي الأمن السيبراني لتحليل هوية الشركات والأفراد المدعومين من الحكومة الصينية وتكتيكاتهم. حتى الآن، لم يتم التعرف إلى هوية هذا الشخص، لكن هناك تكهنات تزعم بأنه كان يعمل في الشركة وتم طرده، فقام بالتسريب للانتقام، وبأن هذا النوع من التسريبات يتم على أيادي موظفين سابقين، وهو معروف لدى محللي الأمن السيبراني، ويطلق عليه "التهديد من الداخل" أو (Insider threat).
تشكل البيانات المسربة على الانترنت فرصة مهمة للتعرف إلى أنشطة الحكومة الصينية في مجال الاستخبارات مع شركة "آي سون". حيث كشفت عن إسناد مهمات للشركة من قبل أجهزة أمن صينية، كوزارة أمن الدولة، ووزارة الأمن العام، وأيضا مع جيش التحرير الشعبي. حيث حصلت الشركة على مبلغ يصل إلى 55 ألف دولار، في مقابل توفيرها معلومات حساسة من وزارة الاقتصاد الفيتنامية.
ليس هذا فحسب، ولكن كشفت التسريبات عن إقدام الحكومة الصينية على تجنيد أفراد وشركات أخرى لتنفيذ أهدافها. على سبيل المثل، دفعت حكومة محلية في إقليم جنوب غرب الصين مبلغا يقارب 15 ألف دولار نظير حصولها على معلومات تمكنها من الاطلاع على شبكات المرور في فيتنام. وكذلك ، في مقابل مبلغ 10 آلاف دولار، تستطيع جهات حكومية صينية الحصول على برمجيات تمكنها من شن حملات دعائية على موقع التواصل "إكس".
وتكشف تلك المبالغ الزهيدة النقاب عن كيفية تجنيد مخترقين في الصين وتكاليفها، في مقابل الهجوم بتقنيات عالية ضد وزارة اقتصاد دولة أخرى هنا أو الحصول على معلومات حساسة هناك، فوجود الخبرات التكنولوجية العالية للمخترقين الصينيين وأيضا التكلفة الرخيصة، يجعلان من الصين مرتعا للمجرمين الإلكترونيين.
كشفت التسريبات تركيبة هيكل "آي سون"، لديها 70 فردا، موزعين في 3 فرق هجومية، مع فريق أبحاث وآخر للدعم التقني، تتعاون لاختراق الشبكات في دول عدة وتتنصت على أنظمة "ويندوز" و"ماك" و"أندرويد"
لم يتوقف نشاط شركة "آي. سون" على التعاقد مع جهات حكومية فقط، ولكن أظهرت التسريبات الآلاف من بيانات المحادثات بين موظفي الشركة وعملائها لترتيب الهجمات المستقبلية ومواد دعائية لمنتجات تصنعها الشركة وأيضا الاتفاق على أسعارها. حيث قام محلل استخباراتي تكنولوجي يدعى "اذاكا" من تايوان في منشور مطول له على موقع "إكس" بتحليل وثائق تعود الى العام 2022 أظهرت تصنيع شركة "آي سون" برمجيات تنصت على أنظمة "ويندوز"، "ماك"، و"أندرويد".
وصنعت الشركة أيضا جهازا يشبه الشاحن المتنقل، يمكّن "الهاكرز" الصينيين من نقل البيانات الشخصية للضحية الذي يستخدم هذا الجهاز لقواعد بيانات الشركة. أيضا صنعت الشركة أجهزة تمكنها من فك كلمات السر الخاصة بشبكات Wi-Fi.
عرض لشاشات في دانبري، المملكة المتحدة، يوم تمكن المتسللون من إدخال تعليمات برمجية ضارة في منتج من مزود لتكنولوجيا المعلومات يضم في قائمة عملائه 300000 مؤسسة. 7 يناير 2021
كشفت هذه التسريبات النقاب عن نموذج جديد من الشركات التجارية التي تقدم خدماتها للأفراد والمؤسسات في مجال استخبارات المعلومات والقيام بحملات دعائية للتأثير في الرأي العام. وبينت التسريبات الهيكل الداخلي لشركة "آي سون"، إذ يصل عدد العاملين لديها إلى 70 فردا، ممثلين بثلاث فرق هجومية للاختراق، وفريق أبحاث، إضافة إلى فريق خاص بالدعم التقني، لتقدم الشركة خدماتها المختصة بالهجوم واختراق الشبكات.
ومن الواضح عند تحليل نشاط "آي سون"، أن الجزء الكبير من عوائدها المادية يتأتى من خلال توفير خدماتها للحكومة الصينية في ما يعرف بـ"Hacking as a service".
قمع أقليات إثنية
تستخدم الحكومة الصينية الشركة في استهداف أهداف حكومية في منطقة وسط وجنوب شرق آسيا. هاجمت الشركة أيضا وزارات الخارجية في دول عدة كالهند والنيبال. ومع البحث العميق في تاريخ الشركة الهجومي، أشار خبراء إلى أن للشركة يدا في هجمات الكترونية داخل منطقة الشرق الأوسط كمصر وتركيا، وفي أفريقيا أيضا، كنيجيريا ورواندا.
وصفت صحيفة "نيويورك تايمز" شركة "آي سون" بأنها جزء من نظام متعاقدين، له ارتباطات بالمشهد الصيني للقراصنة الوطنيين المخلصين للدولة
المهم في التسريبات انها كشفت كيف تدار الأمور في شبكة المخترقين الصينين وكيفية دعم الدولة لهم. فوصفت صحيفة "نيويورك تايمز" الأميركية شركة "آي سون" بأنها جزء من نظام متعاقدين، له ارتباطات بالمشهد الصيني للقراصنة الوطنيين المخلصين للدولة، هذا النظام انشىء منذ عقدين وأصبح مشروعا وسلاحا لدى الحكومة لتنفيذ سياستها وخدمة مصالحها. ولا يعتبر نظام التعاقد بين الحكومة الصينية وشركات خاصة جديدا على الساحة الدولية. فكل من إيران وروسيا استخدمت هذا الأسلوب منذ سنوات واستعانت بكيانات خاصة غير حكومية لمهاجمة كيانات ومنظمات تجارية وسياسية في الداخل والخارج.
وعزت الصحيفة سبب زيادة النشاط الصيني في مجال الأمن السيبراني الى تعليمات الرئيس الصيني شي جين بينغ، بتعزيز أدوار الهيئات الحكومية للمشاركة في أعمال القرصنة الالكترونية، بحيث لم تعد تحت سلطة جيش التحرير الشعبي فقط، ولكن تتم إدارة عمليات القرصنة والتجسس بواسطة مكاتب الأمن العام على مستوى المقاطعات كلها. ولا تزال حكومات رسمية إقليمية في الصين ترعى وتدعم هجمات إلكترونية عالية التقنية ضد أهداف عالية الحماية.
كشفت التسريبات أيضا عن استخدام الحكومة الصينية نظام التعاقد مع الشركات لمراقبة أوضاع أقليات إثنية منها أقلية الإيغور. حيث قامت الصين بتوجيه شركة "آي سون" لمراقبة هذه الأقلية في الداخل لفرض سيطرة سياسية على ما تفكر فيه، وكذلك لمراقبة الفارين والمعارضين السياسيين، بما في ذلك الفئات العرقية والأقليات الأخرى.
وترى بكين في هذه المجموعات مصدرا محتملا لعدم الاستقرار السياسي في البلاد. حيث كشف تحقيق لصحيفة "وول ستريت جورنال" الأميركية عن رصد مركز شرطة محلي في الصين لمعارضين من أقلية الإيغور المقيمين في نيويورك واستهدافهم بحملات دعائية واستخباراتية تهدف الى جمع أكبر قدر من المعلومات عنهم وخططهم المستقبلية.
في 2019 استهدفت الشركة أقليات في منطقة التيبت ببرامج خبيثة على العديد من أنظمة التشغيل. وفي 2022 شنت هجوما على سلاسل التوريد الخاصة بشركة تكنولوجية في كندا
يأتي هذا كجزء من الرؤية الأمنية للرئيس الصيني باعتبار الأقليات والمهمشين في الدولة الصينية مصدر تهديد للاستقرار ويجب مراقبتهم واستهدافهم بحملات سيبرانية دقيقة. فذكرت "وول ستريت جورنال" أن الرئيس الصيني استهدف المهمشين في مقاطعات التيبت وهونغ كونغ وشين جيانغ، حيث يوجد عدد كبير من المواطنين الذين يعتبرون أنفسهم غير صينيين. فتم رصد عنوان بروتوكول الانترنت في التسريبات، وهو العنوان نفسه لحملة استخباراتية قامت بها الحكومة الصينية ضد سكان منطقة التيبت في عام 2019 بحملة تحت اسم "بوازن كارب" "Poison Carp"
علاقة "آي سون" بمجموعة "APT41"
كما كشفت التسريبات عن مجموعة الفاعلين الالكترونيين الصينية وعلاقتها بشركة "آي سون". وهي مجموعة تشكلت في عام 2012 ومدعومة من الدولة الصينية لأغراض استخباراتية. من ضمن التكتيكات لهذه المجموعة بأنها تخطط لهجمات على منشآت مالية وصحية وفي مجال الاتصالات وألعاب الفيديو. حيث اشارت وحدة رقم 42 في شركة "بالو ألتو" الأميركية، وهي شركة متخصصة في أمن الشبكات، في تقرير لها نشر في 23 فبراير/شباط الماضي، الى وجود صلة بين المعلومات المسربة وهجمات رصدت في الماضي. على سبيل المثل، تمكنت وحدة 42 من تحديد البنية التحتية لبرامج خبيثة لشركة "آي سون" وعلاقة الشركة بحملتين استخباراتيتين منسوبتين إلى مجموعة "APT41".
الحملة الاولى، كانت في عام 2019 حيث استهدفت الشركة أقليات في منطقة التيبت ببرامج خبيثة على العديد من أنظمة التشغيل. والحملة الثانية كانت في عام 2022 بالهجوم على سلاسل التوريد الخاصة بشركة تكنولوجية في كندا، حيث ثبّت المهاجمون مثبت برامج ضاراً للشركة على موقعها الرسمي. في كلتا الحالتين توجد آثار تعاون بين الشركة ومجموعة "APT41" ، الأمر الذي لا يدع مجالا للشك بأن هذا السلوك من الحكومة الصينية هو ممنهج ومتبع في حالات كثيرة، وتم الكشف عن عدد قليل من الهجمات نظرا الى التعتيم الحاصل على هذا الأمر. وقد بدأ هذا التسريب يسلط الضوء على شبكة المخترقين في الصين، والأهم هو ربط هذه الهجمات بعضها ببعض لإعادة ترسيم هذه الشبكة العنكبوتية من المجرمين الالكترونيين والفاعلين المهمين المدعومين من الحكومة الصينية.
