هاكرز صينيون يخترقون تحديثات البرامج باستخدام هجوم SLAAC عبر بروتوكول IPv6
كشف تقرير حديث من شركة ESET الأمنية عن حملة قرصنة خطيرة تُنسب لمجموعة تُعرف باسم TheWizards، يُعتقد أنها على صلة بالحكومة الصينية. الحملة تستغل ثغرة في طريقة عمل بروتوكول IPv6، تحديدًا عبر ما يُعرف بـ”هجوم SLAAC spoofing”، لاختراق تحديثات البرامج وتحميل برمجيات خبيثة على أجهزة الضحايا.
كيف يعمل الهجوم؟
المهاجمون يستخدمون أداة اسمها Spellbinder لإرسال رسائل Router Advertisement وهمية داخل الشبكة. الرسائل دي بتخدع الأجهزة وتخليها تعتقد إن جهاز الهاكر هو الراوتر الحقيقي، وبالتالي تمرر كل حركة الإنترنت من خلاله.
من خلال السيطرة دي، بيقدر الهاكر يعيد توجيه طلبات DNS الخاصة بتحديثات البرامج إلى سيرفراته، وبالتالي الضحايا بيحمّلوا نسخ مزيفة من التحديثات الرسمية، تكون ملوثة ببرمجية WizardNet.
البرمجية الخبيثة: WizardNet
البرمجية دي بتمنح المهاجمين وصول كامل عن بُعد إلى الجهاز المُصاب، وبتستخدم تشفير AES عبر TCP أو UDP عشان تتجنب الكشف. من ضمن قدراتها:
- تحميل وتنفيذ ملفات .NET داخل الذاكرة بدون تخزينها
- سحب معلومات النظام والعمليات الجارية
- البقاء في النظام لفترة طويلة (Persistence)
أهداف الحملة
الحملة بدأت على الأقل من سنة 2022، ومستهدفة شركات وأفراد في الصين، هونج كونج، كمبوديا، الفلبين، والإمارات. والضحايا أغلبهم من قطاع المقامرة الرقمي، لكن فيه شركات ترفيهية وتقنية ضمن الأهداف.
من أبرز الدومينات اللي بيتم مراقبتها وتزويرها:
- Tencent، Baidu، Youku، iQIYI، Xiaomi
- Kingsoft، Mango TV، Meitu، Quihoo 360
طرق الحماية المقترحة
شركة ESET نصحت بمراقبة حركة بروتوكول IPv6 داخل الشبكات، أو حتى تعطيله بالكامل لو مش مطلوب في بيئة العمل، لأنه هو مدخل الهجوم الأساسي في السيناريو ده.
خلاصة
الهجوم بيستغل نقطة ضعف نادرة ومهملة في شبكات IPv6، والاعتماد على تحديثات البرامج من مصادر غير آمنة بقى خطر حقيقي. تأمين الشبكة ومراقبة حركة DNS بقى ضرورة، مش رفاهية.
