لكثير من في مجال الأمن السيبراني، تمثل البرامج الضارة المنتشرة عبر محركات أقراص USB تهديدًا غريبًا للقراصنة في العقد الماضي – أو العقد الذي سبقه. ولكن يبدو أن مجموعة من الجواسيس المدعومين من الصين قد اكتشفوا أن المنظمات العالمية التي يعمل بها موظفون في البلدان النامية لا تزال تحافظ على قدمها في الماضي التكنولوجي، حيث يتم تداول محركات الأقراص المصغرة مثل بطاقات العمل، ومقاهي الإنترنت بعيدة عن الانقراض. على مدار العام الماضي، استغل هؤلاء المتسللون الذين يركزون على التجسس هذا الالتواء الزمني الجغرافي لإعادة برامج USB الضارة القديمة إلى العشرات من شبكات الضحايا.
في مؤتمر الأمن mWise اليوم، كشف باحثون من شركة الأمن السيبراني Mandiant أن مجموعة قراصنة مرتبطة بالصين يطلقون عليها اسم UNC53 تمكنت من اختراق ما لا يقل عن 29 منظمة حول العالم منذ بداية العام الماضي باستخدام نهج المدرسة القديمة للخداع موظفيهم بتوصيل محركات أقراص USB المصابة بالبرامج الضارة إلى أجهزة الكمبيوتر الموجودة على شبكاتهم. وبينما ينتشر هؤلاء الضحايا في الولايات المتحدة وأوروبا وآسيا، يقول مانديانت إن العديد من الإصابات يبدو أنها تنشأ من عمليات المنظمات المتعددة الجنسيات في أفريقيا، في دول مثل مصر وزيمبابوي وتنزانيا وكينيا وغانا ومدغشقر. في بعض الحالات، يبدو أن البرامج الضارة – في الواقع، عدة أنواع مختلفة من سلالة عمرها أكثر من عقد من الزمن تُعرف باسم Sogu – قد انتقلت عبر وحدة USB من أجهزة الكمبيوتر المشتركة في محلات الطباعة ومقاهي الإنترنت، مما أدى إلى إصابة أجهزة الكمبيوتر بشكل عشوائي في شبكة واسعة النطاق من البيانات.
يقول باحثو مانديانت إن الحملة تمثل إحياءً فعالاً بشكل مدهش للقرصنة المعتمدة على محرك الأقراص المصغرة والتي تم استبدالها إلى حد كبير بتقنيات أكثر حداثة، مثل التصيد الاحتيالي والاستغلال عن بعد لنقاط ضعف البرامج. يقول بريندان ماكيج، الباحث في شركة مانديانت: “لقد عادت إصابات USB”. “في الاقتصاد الموزع عالميًا اليوم، قد يكون المقر الرئيسي لمنظمة ما في أوروبا، ولكن لديها عمال عن بعد في مناطق من العالم مثل أفريقيا. وفي حالات متعددة، كانت أماكن مثل غانا أو زيمبابوي هي نقطة العدوى لهذه التطفلات المستندة إلى USB.
تم استخدام البرامج الضارة التي عثر عليها Mandiant، والمعروفة باسم Sogu أو في بعض الأحيان Korplug أو PlugX، في أشكال غير USB من قبل مجموعة واسعة من مجموعات القرصنة التي يوجد مقرها في الصين إلى حد كبير لأكثر من عقد من الزمان. ظهر فيروس طروادة الذي يمكن الوصول إليه عن بعد، على سبيل المثال، في الاختراق الصيني السيئ السمعة لمكتب إدارة شؤون الموظفين الأمريكي في عام 2015، وحذرت وكالة الأمن السيبراني وأمن البنية التحتية من استخدامه مرة أخرى في حملة تجسس واسعة النطاق في عام 2017. ولكن في يناير من عام 2017، في عام 2022، بدأت Mandiant في رؤية إصدارات جديدة من حصان طروادة تظهر بشكل متكرر في تحقيقات الاستجابة للحوادث، وفي كل مرة تتبعت تلك الانتهاكات إلى محركات أقراص USB المصابة بفيروس Sogu.
منذ ذلك الحين، شاهد مانديانت حملة اختراق USB تتصاعد وتصيب ضحايا جدد مؤخرًا هذا الشهر، وتمتد عبر الاستشارات والتسويق والهندسة والبناء والتعدين والتعليم والخدمات المصرفية والأدوية، فضلاً عن الوكالات الحكومية. ووجد مانديانت أنه في كثير من الحالات تم التقاط العدوى من جهاز كمبيوتر مشترك في مقهى إنترنت أو مطبعة، وانتشرت من آلات مثل محطة الوصول إلى الإنترنت التي يمكن الوصول إليها بشكل عام في مطار روبرت موغابي في هراري، زيمبابوي. يقول راي ليونج، الباحث في مانديانت: “هذه حالة مثيرة للاهتمام إذا كانت نقطة العدوى المقصودة لـ UNC53 هي مكان يسافر فيه الناس إقليميًا في جميع أنحاء أفريقيا أو حتى يحتمل أن ينشروا هذه العدوى دوليًا خارج أفريقيا”.
ويشير ليونج إلى أن مانديانت لم تتمكن من تحديد ما إذا كان أي موقع من هذا القبيل يمثل نقطة عدوى متعمدة أو “مجرد محطة أخرى على طول الطريق حيث كانت هذه الحملة تنتشر في جميع أنحاء منطقة معينة”. ولم يكن من الواضح تمامًا ما إذا كان المتسللون سعوا إلى استخدام وصولهم إلى عمليات شركة متعددة الجنسيات في إفريقيا لاستهداف عمليات الشركة الأوروبية أو الأمريكية. وفي بعض الحالات على الأقل، بدا أن الجواسيس ركزوا على العمليات الأفريقية نفسها، نظرا لمصالح الصين الاستراتيجية والاقتصادية في القارة.
