في تقرير أصدرته الشركة الأمنية الأميركية فاير آي (FireEye)، تَبيّن أن القراصنة الرقميين الذين يديرون العمليات المخابراتية المتطورة منذ 7 سنوات لصالح الحكومة الصينية، يستغلون في ذات الوقت مهاراتهم للاختراق من أجل الربح الشخصي، وذلك باستهداف مختلف الضحايا في قطاع العملات الرقمية المشفرة وقطاع ألعاب الفيديو. وأظهر التقرير أن مجموعة القراصنة الرقميين، التي تعرف باسم "APT41"، تُدير مزيجاً نادراً من الأنشطة التي تجري في بلد مثل الصين؛ حيث غالباً ما نجد عالَمي "التجسس الإلكتروني" و"الجريمة الإلكترونية" متمايزان تماماً ومستقلان عن بعضهما البعض.
وكتب الباحثون في التقرير الذي صدر يوم الأربعاء "أن علاقات ‘APT41’ في كلّ من الأسواق السوداء الخفيّة والنشاطات المُمولة من قِبل الحكومة تشير إلى أن مجموعة القراصنة هذه تستمتع بالحماية التي تمكنها من إجراء نشاطاتها الهادفة للربح لصالحها، وفي حال كان من المُبالغ إضفاء صفة الحماية على ما تقدمه الحكومة فمن الراجح أن المجموعة تستمتع باستعداد السلطات للتغاضي عن هذه الأنشطة طالما أنها تحصل منهم على ما تريده. أو من الوارد أن مجموعة ‘APT41’ تتهرّب ببساطة من عمليات التدقيق التي تجريها السلطات الصينية. وأياً ما يكون، فإن مجرد وجود هذه العمليات السيبرانية ضبابية الخط يؤكد الفاصل ما بين السلطة الحكومية وعالَم الجريمة الذي غالباً ما نجده كامناً في صميم النُظُم التهديدية التي تُعدّ مجموعة ‘APT41’ مثالاً عنها".
العمل الأساسيّ
استهلت مجموعة القراصنة "APT41" مسيرتها في أرجح التقديرات عام 2012، وتمثلت مهمتها -على غرار غيرها من مجموعات القراصنة التي تمولها الحكومة الصينية- في: سرقة المعلومات المحمية بموجب قوانين الملكية الفكرية من الأجهزة الطبية والصيدلانية.
وبحلول العام 2015، وبعد توصل الرئيس الصيني شي جين بينغ والرئيس الأميركي باراك أوباما إلى اتفاق بشأن مكافحة السرقات المتعلقة بالملكية الفكرية، تغيّرت أهداف مجموعة "APT41". وما يبين تغيّر أهدافها هو ما حدث مؤخراً من تصدّر المجموعة عناوين أخبار وسائل الإعلام بعد نجاحها في إجراء سلسلة من الاختراقات في شركات كبرى مثل الشركة التقنية التايوانية "آسوس" (Asus).
وقد بدأت هذه الهجمات الرقمية عندما تسلل القراصنة السيبرانيون لبرامج هذه الشركات، وحقنوا برمجيات ضارّة في ملفات عادية ومشروعة، كانت ستُوزَّع لاحقاً بصفتها تحديثات على نطاق واسع، وهذا ما حصل بالفعل. مما أدى إلى إصابة عشرات الآلاف من الأجهزة، لكن القراصنة الرقميين لم يكونوا يستهدفون في نهاية المطاف إلا مجموعة صغيرة من الأفراد اختاروها على أساس مُعرِّفات نُظُم تشغيل أولئك الأفراد الذين استخدموا تلك البرمجيات المُخترقة.
وتقول شركة فاير آي إن مجموعة القراصنة المعروفة أيضاً باسم "باريوم آند وينّتي" (Barium and Winnti)، والمدروسة جيداً من قِبل الفاعلين في مجال الأمن السيبراني حول العالم، استخدمت مجموعة متنوعة من التقنيات لفتح ثغرة في نُظُم تشغيل الضحايا، ومن بين تلك التقنيات: نُسخة متقنة الإعداد من آلية التصيّد الهجومي الرقميّ، واستخدام بيانات اعتماد مسروقة، واستعمال برنامج مشاركة سطح المكتب عن بُعد تيم فيور (TeamViewer)، واستخدام صَدَفة الويب البرمجية "تشاينا شوبّر" (China Chopper).
وتشير شركة فاير آي إلى أنه يُعرف عن مجموعة "APT41" بمجرد ولوج أجهزة الضحايا، أنها تستخدم عشرات البرمجيات الضارة من شتى الأصناف تقوم بمختلف المهام في ذات الوقت، من ذلك ما درسته شركة فاير آي لهجمة رقمية أجرتها المجموعة امتدت لعام كامل استخدمت فيها المجموعة "ما يناهز 150 نوعاً مختلفاً من البرمجيات الضارة، من بينها: المداخل السريّة للنُظُم (backdoors)، وسارقات بيانات الاعتماد، ومُسجلات ما يطبع على لوحة المفاتيح (keyloggers)، وبرمجيات الروت كيت (rootkits)".
لهذا تُعتبر مجموعة القراصنة الرقميين "APT41"، بما تملكه من كفاءات، وسجلٍّ حافل، وأدوات متقنة -بالنسبة لخبراء التكتيك الصينيين- وحدةً سيبرانية احترافيّة متعددة المهام. ويذكر أن هذه المجموعة استهدفت من قَبل سجلات المكالمات التي تخزنها شركات الاتصالات، فضلاً عن وسائل الإعلام، بل استهدفت حتى نُظُم الحجز لدى تلك الفنادق المُقرر أن يقيم فيها المسؤولون الصينيون لفترة عابرة من الزمن. لكن -وبعد إبرام اتفاقية العام 2015- تغيرت مهام المجموعة كثيراً وابتعدت عن السرقات التي تتم بإقرار من الحكومة، وتولت مهام أخرى مثل مراقبة أي شخص تريد بكين مراقبته.
العملُ الثانوي
في ذات الوقت التي تجري فيه هذه المجموعة الهجمات السياسية العابرة للحدود التي تكلفها بها الحكومة الصينية، تستخدم المجموعة عدداً كبيراً من التقنيات ذاتها لاختراق مجموعة من الضحايا بهدف الربح المالي.
من ذلك إجراء مجموعة "APT41" سلسلة من الاختراقات لعدد من شركات صناعة ألعاب الفيديو. حيث قامت المجموعة باختراق نُظُم إنتاج الألعاب، وولّدت ما يصل قيمته إلى ملايين الدولارات من العملة الافتراضية التي تُشغّل بها اللعبة، ومن ثم تقوم المجموعة ببيع تلك العملات الافتراضية في السوق السوداء مقابل المال الحقيقي.
استخدمت المجموعة أيضاً عدة أساليب تقليدية من الجريمة الإلكترونية، من بينها إجراء هجمات ببرامج الفدية، كما حاولت ابتزاز إحدى شركات صناعة الفيديو عندما صعّبت تلك الشركة عملية تحويل العملة الافتراضية للعبتها إلى مال حقيقيّ.
ويقول الباحثون الذين أعدوا التقرير "إن مجموعة ‘APT41’ تعود بين الفينة والأخرى إلى مهاجمة شركات صناعة ألعاب الفيديو، ونعتقد أن الأساليب المستخدمة في هذه الهجمات على شركات ألعاب الفيديو قد اتُّبعت كذلك في عمليات التجسس التي أجرتها المجموعة".
وعلى الرغم من صعوبة التمييز بينهما، إلا أن هناك فرقاً واضحاً بين عمليات التجسس التي تجريها المجموعة لصالح الحكومة؛ وأنشطتها الخاصة بها التي تجريها بغرض الربح. ومع ذلك فمن البديهي أن نتصور أن الأساليب والبرمجيات الضارة الأكثر تطوراً غالباً ما لا تُستخدم إلا للأهداف الكبيرة التي تختارها الحكومة الصينية.