في تطور جديد يسلط الضوء على التهديدات السيبرانية المتزايدة من قبل مجموعات قرصنة مدعومة من الصين، كشفت تقارير أمنية أن مجموعة FamousSparrow نفذت هجومًا إلكترونيًا معقدًا استهدف مجموعة تجارية في الولايات المتحدة ومعهدًا بحثيًا في المكسيك، مستخدمة برمجيات خبيثة متطورة مثل SparrowDoor وShadowPad
استغلال أنظمة تشغيل قديمة لتنفيذ الهجوم
بدأ الهجوم بزرع ويب شل على خادم IIS، مما سمح للمتسللين بتنزيل وتشغيل أوامر خبيثة على أجهزة الضحايا، ومن ثم تثبيت SparrowDoor وShadowPad، مستغلين أنظمة تشغيل قديمة غير محدثة، مثل Windows Server وMicrosoft Exchange Server، وهو ما ساعدهم في تنفيذ الاختراق دون مقاومة كبيرة.
تطوير جديد في برمجيات SparrowDoor
وفقًا لتقرير صادر عن شركة الأمن السيبراني ESET، فإن المجموعة نشرت نسختين جديدتين من SparrowDoor، إحداهما تعتمد على مكونات إضافية (موديولر)، مما يجعلها أكثر تعقيدًا من الإصدارات السابقة، حيث أصبحت قادرة على تنفيذ أوامر متعددة بشكل متزامن، مثل تشغيل بروكسي، وإدارة الملفات، وجمع معلومات عن الضحية، والتقاط لقطات شاشة، وتسجيل ضغطات لوحة المفاتيح
آلية عمل البرمجية الخبيثة
تحمل إحدى النسخ الجديدة من SparrowDoor تشابهًا كبيرًا مع برمجية Crowdoor المستخدمة في عمليات قرصنة سابقة، لكنها شهدت تطورات ملحوظة تجعلها أكثر خطورة، حيث أصبح بإمكانها فتح قنوات اتصال متعددة مع خوادم التحكم والسيطرة (C&C) لتلقي وتنفيذ الأوامر بسرعة وكفاءة، مما يسمح للمتسللين بسرقة البيانات أو التجسس على المستخدمين أو حتى السيطرة على الأنظمة بالكامل
تصاعد تهديدات القرصنة الصينية
يؤكد هذا التطور أن مجموعة FamousSparrow لا تزال نشطة وتواصل تطوير أدواتها الهجومية، مما يعزز المخاوف بشأن تصاعد الهجمات المدعومة من جهات حكومية، وهو ما يستدعي تعزيز تدابير الأمن السيبراني وتحديث الأنظمة بشكل دوري للحماية من هذه الهجمات
