اكتشف باحثو شركة جوجل متسللين يستهدفون المستخدمين في هونغ كونغ وهم يستغلون نقاط ضعف غير معروفة في ذلك الوقت في نظام تشغيل ماك من شركة. ووفقًا للباحثين، فإن الهجمات تحمل بصمات المتسللين المدعومين من الحكومة.
ونشرت مجموعة تحليل التهديدات التابعة لشركة جوجل تقريرًا يفصل حملة القرصنة. ولم يوجه الباحثون أصابع الاتهام إلى مجموعة أو دولة قرصنة معينة. ولكن قالوا إنها مجموعة ذات موارد جيدة، ومن المحتمل أن تكون مدعومة من الدولة.
وقال شين هنتلي، رئيس مجموعة تحليل التهديدات: ليس لدينا ما يكفي من الأدلة الفنية لتقديم الإسناد ولا نفكر في الإسناد. ومع ذلك، فإن طبيعة النشاط والاستهداف تتفق مع جهة فاعلة مدعومة من الحكومة.
واكتشفت مجموعة تحليل التهديدات الحملة في أواخر شهر أغسطس من هذا العام. وكان المتسللون قد شنوا هجومًا عبر إخفاء برمجيات خبيثة داخل المواقع الشرعية لمنفذ إعلامي ومجموعة عمالية وسياسية بارزة مؤيدة للديمقراطية في هونغ كونغ.
ويتعرض المستخدمون الذين زاروا هذه المواقع للاختراق مع ثغرة أمنية غير معروفة إلى جانب ثغرة أخرى استفادت من ثغرة أمنية مصححة سابقًا لنظام MacOS التي تم استخدامها لتثبيت باب خلفي عبر أجهزة الحاسب.
وقامت شركة آبل بتصحيح الثغرة المستخدمة في الحملة في تحديث تم دفعه في 23 سبتمبر. وتمكن باحثو جوجل من دراسة الثغرات عبر زيارة مواقع الويب التي تم اختراقها من قبل المتسللين.
وخدمت المواقع كلاً من سلاسل استغلال iOS و MacOS. ولكن الباحثين كانوا قادرين على استرداد MacOS فقط. وكان الاستغلال مشابهًا لثغرة أخرى حللها باحث آخر في جوجل في الماضي.
جوجل: مستخدمو هونغ كونع مستهدفون
بالإضافة إلى ذلك فإن الاستغلال المستخدم في حملة القرصنة هذه مطابق لاستغلال تم اكتشافه سابقًا بواسطة مجموعة أبحاث الأمن السيبراني Pangu Lab.
وقدم باحثو Pangu Lab الاستغلال في مؤتمر أمني في الصين في شهر أبريل من هذا العام. أي قبل أشهر قليلة من استخدامه من قبل المتسللين ضد مستخدمي هونغ كونغ.
ووفقًا لجوجل، تم تقديم الاستغلال باعتباره استغلالًا يستهدف macOS Big Sur. ولكن الباحثين اكتشفوا أنه يعمل أيضًا عبر macOS Catalina.
وقام باتريك واردل، الباحث المتخصص في منتجات آبل، بمراجعة بحث جوجل وتحليل البرامج الضارة عن طريق تنزيلها من Virus Total، وهو مستودع للبرامج الضارة مملوك لشركة جوجل.
وقال واردل، الذي يطور مجموعة من أدوات الأمان المجانية والمفتوحة المصدر لنظام التشغيل Mac، إنه ليس من المستغرب رؤية مجموعات قرصنة متقدمة تستخدم ثغرات نظام التشغيل Mac.
وأوضح أن الأمر المثير للاهتمام هو أنه في هذه الحالة قام المتسللون بدمج ثغرة معروفة سابقًا مع ثغرة غير معروفة حصلوا عليها من أحد المؤتمرات.
ووجد واردل أن البرنامج يحتوي على سلاسل تعليمات برمجية باللغة الصينية، مثل 安装 成功 (تثبيت ناجح). كما وجد أن خادم القيادة والتحكم الذي اتصل به كان موجودًا في هونغ كونغ.
جوجل تروج لموقع تصيد احتيالي يقلد OpenSea