قال باحثون إن ضباط المخابرات الصينية يقفون وراء ما يقرب من عشر سنوات من عمليات اقتحام الشبكات التي تستخدم برامج ضارة متقدمة لاختراق البرمجيات وشركات الألعاب في الولايات المتحدة وأوروبا وروسيا وأماكن أخرى من العالم، والتي كان آخرها الحملة التي ظهرت في شهر مارس وتستخدم رسائل البريد الإلكتروني الاحتيالية في محاولة للوصول إلى الحسابات الحساسة للمؤسسات ضمن خدمة Office 365 وحسابات بريد جيميل،
وبحسب الخبراء فقد قام القراصنة في العملية الأخيرة بأخطاء أمنية عملية خطيرة كشفت عن معلومات أساسية حول أهدافهم وموقعهم المحتمل، حيث استخدم باحثون من منظمات أمنية مختلفة مجموعة متنوعة من الأسماء لتحديد المسئولين عن الاختراق، بما في ذلك LEAD و BARIUM و Wicked Panda و GREF و PassCV و Axiom و Winnti.
وافترض الباحثون في العديد من الحالات أن المجموعات كانت متميزة وغير منتسبة، ووفقًا لتقرير جديد مكون من 49 صفحة، فإن جميع الهجمات هي من صناعة جهاز المخابرات للحكومة الصينية، وهو ما وضحه مؤلفو التقرير الذي حمل اسم العمليات وينتي أمبريلا Winnti Umbrella، حيث استند الباحثون إلى تقارير فريق أبحاث وتحليل التهديدات في شركة ProtectWise الأمنية
واعتمدت هذه التقارير على البنية التحتية للشبكة العامة والتكتيكات والتقنيات والإجراءات المستخدمة في الهجمات بالإضافة إلى الأخطاء الأمنية التشغيلية التي كشفت عن المكان المحتمل للأعضاء المنفردين، وكانت الهجمات المرتبطة بعملية Winnti Umbrella نشطة منذ عام 2009 على الأقل وربما يعود تاريخها إلى عام 2007.
وأفادت شركة مكافحة الفيروسات Kaspersky Lab في عام 2013 أن المتسللين الذين يستخدمون أجهزة حاسب بلغات صينية وكورية استخدموا أبواب خلفية يطلق عليها Winnti لإصابة أكثر من 30 شركة تصنيع ألعاب فيديو عبر الإنترنت على مدى السنوات الأربع الماضية، واستخدم المهاجمون وصولهم غير المصرح به للحصول على الشهادات الرقمية التي تم استغلالها لاحقًا لتوقيع البرامج الضارة المستخدمة في الحملات التي تستهدف صناعات ونشطاء سياسيين آخرين.
كما ذكرت شركة الأمن Symantec في عام 2013 أن مجموعة قرصنة يطلق عليها Hidden Linx كانت وراء الهجمات على أكثر من 100 منظمة، بما في ذلك عمليات تسلل عالية المستوى في عام 2012، والتي أدت إلى سرقة مفتاح التشفير من Bit9 واستخدمه لإصابة ثلاثة على الأقل من عملاء شركة الأمن والحماية.
وأصدرت المنظمات الأمنية Novetta و Cylance و Trend Micro و Citizen Lab و ProtectWise في السنوات الأخيرة تقارير حول مختلف حملات Winnti Umbrella، حيث اشتملت حملة واحدة على انتهاكات كبيرة للشبكة التي تسببت بضرر لشركة جوجل و 34 شركة أخرى في عام 2010.
وتستخدم المجموعات عمليات التصيد الاحتيالي للحصول على الدخول إلى شبكة الهدف، واستخدمت المجموعات خلال هجمات سابقة حلول لتثبيت باب خلفي مخصص، وفي الآونة الأخيرة، تبنت المجموعات ما يسمى بتقنيات الإصابة المسماة “خارج الأرض”، والتي تعتمد على أنظمة الوصول المعتمدة الخاصة بالهدف أو أدوات إدارة النظام للحفاظ على الوصول غير المصرح به.
وتقوم المجموعات باختراق المؤسسات الأصغر في صناعات الألعاب والتقنيات، ومن ثم تستخدم شهاداتها وغيرها من الأدوات للوصول إلى الأهداف الرئيسية، وهي أهداف سياسية في المقام الأول، وشملت الأهداف الرئيسية في الحملات السابقة الصحافيين التبتيين والصينيين والأويغور والنشطاء التبتيين وحكومة تايلاند والمنظمات التكنولوجية البارزة.
وأفادت شركة Kaspersky Lab في أغسطس الماضي أن أدوات إدارة الشبكات التي باعتها شركة تطوير البرمجيات NetSarang من كوريا الجنوبية قد تضمنت باب خلفي سري أعطى المهاجمين السيطرة الكاملة على خوادم عملاء NetSarang، وكان لهذا الباب الخلفي الذي يحمل اسم ShadowPad أوجه تشابه مع Winnti، وقد تم استخدام أدوات NetSarang في ذلك الوقت من قبل مئات البنوك وشركات الطاقة ومصنعي الأدوية.
