تسريب وثائق "آي. سون" يكشف تورط الصين بتجنيد الـ"هاكرز"

سجل شخص مجهول الهوية دخوله على موقع "جيت هاب" يوم 15 يناير/كانون الثاني من السنة الجارية من خلال إيميل يدعى "[email protected]"، بعدها بنحو شهر نشر ملفات ووثائق مسروقة لشركة متعاقدة مع الحكومة الصينية تدعى "آي سون"، وتعرف أيضا بإسم "أنكزن إنفورمايشن تكنولوجي" (Anxun information technology)، في تسريب يفتح الباب أمام محللي الأمن السيبراني لتحليل هوية الشركات والأفراد المدعومين من الحكومة الصينية وتكتيكاتهم. حتى الآن، لم يتم التعرف إلى هوية هذا الشخص، لكن هناك تكهنات تزعم بأنه كان يعمل في الشركة وتم طرده، فقام بالتسريب للانتقام، وبأن هذا النوع من التسريبات يتم على أيادي موظفين سابقين، وهو معروف لدى محللي الأمن السيبراني، ويطلق عليه "التهديد من الداخل" أو (Insider threat).

تشكل البيانات المسربة على الانترنت فرصة مهمة للتعرف إلى أنشطة الحكومة الصينية في مجال الاستخبارات مع شركة "آي سون". حيث كشفت عن إسناد مهمات للشركة من قبل أجهزة أمن صينية، كوزارة أمن الدولة، ووزارة الأمن العام، وأيضا مع جيش التحرير الشعبي. حيث حصلت الشركة على مبلغ يصل إلى 55 ألف دولار، في مقابل توفيرها معلومات حساسة من وزارة الاقتصاد الفيتنامية.

ليس هذا فحسب، ولكن كشفت التسريبات عن إقدام الحكومة الصينية على تجنيد أفراد وشركات أخرى لتنفيذ أهدافها. على سبيل المثل، دفعت حكومة محلية في إقليم جنوب غرب الصين مبلغا يقارب 15 ألف دولار نظير حصولها على معلومات تمكنها من الاطلاع على شبكات المرور في فيتنام. وكذلك ، في مقابل مبلغ 10 آلاف دولار، تستطيع جهات حكومية صينية الحصول على برمجيات تمكنها من شن حملات دعائية على موقع التواصل "إكس".

وتكشف تلك المبالغ الزهيدة النقاب عن كيفية تجنيد مخترقين في الصين وتكاليفها، في مقابل الهجوم بتقنيات عالية ضد وزارة اقتصاد دولة أخرى هنا أو الحصول على معلومات حساسة هناك، فوجود الخبرات التكنولوجية العالية للمخترقين الصينيين وأيضا التكلفة الرخيصة، يجعلان من الصين مرتعا للمجرمين الإلكترونيين.

لم يتوقف نشاط شركة "آي. سون" على التعاقد مع جهات حكومية فقط، ولكن أظهرت التسريبات الآلاف من بيانات المحادثات بين موظفي الشركة وعملائها لترتيب الهجمات المستقبلية ومواد دعائية لمنتجات تصنعها الشركة وأيضا الاتفاق على أسعارها. حيث قام محلل استخباراتي تكنولوجي يدعى "اذاكا" من تايوان في منشور مطول له على موقع "إكس" بتحليل وثائق تعود الى العام 2022 أظهرت تصنيع شركة "آي سون" برمجيات تنصت على أنظمة "ويندوز"، "ماك"، و"أندرويد".

وصنعت الشركة أيضا جهازا يشبه الشاحن المتنقل، يمكّن "الهاكرز" الصينيين من نقل البيانات الشخصية للضحية الذي يستخدم هذا الجهاز لقواعد بيانات الشركة. أيضا صنعت الشركة أجهزة تمكنها من فك كلمات السر الخاصة بشبكات Wi-Fi.

كشفت هذه التسريبات النقاب عن نموذج جديد من الشركات التجارية التي تقدم خدماتها للأفراد والمؤسسات في مجال استخبارات المعلومات والقيام بحملات دعائية للتأثير في الرأي العام. وبينت التسريبات الهيكل الداخلي لشركة "آي سون"، إذ يصل عدد العاملين لديها إلى 70 فردا، ممثلين بثلاث فرق هجومية للاختراق، وفريق أبحاث، إضافة إلى فريق خاص بالدعم التقني، لتقدم الشركة خدماتها المختصة بالهجوم واختراق الشبكات.

ومن الواضح عند تحليل نشاط "آي سون"، أن الجزء الكبير من عوائدها المادية يتأتى من خلال توفير خدماتها للحكومة الصينية في ما يعرف بـ"Hacking as a service".

قمع أقليات إثنية

تستخدم الحكومة الصينية الشركة في استهداف أهداف حكومية في منطقة وسط وجنوب شرق آسيا. هاجمت الشركة أيضا وزارات الخارجية في دول عدة كالهند والنيبال. ومع البحث العميق في تاريخ الشركة الهجومي، أشار خبراء إلى أن للشركة يدا في هجمات الكترونية داخل منطقة الشرق الأوسط كمصر وتركيا، وفي أفريقيا أيضا، كنيجيريا ورواندا.

المهم في التسريبات انها كشفت كيف تدار الأمور في شبكة المخترقين الصينين وكيفية دعم الدولة لهم. فوصفت صحيفة "نيويورك تايمز" الأميركية شركة "آي سون" بأنها جزء من نظام متعاقدين، له ارتباطات بالمشهد الصيني للقراصنة الوطنيين المخلصين للدولة، هذا النظام انشىء منذ عقدين وأصبح مشروعا وسلاحا لدى الحكومة لتنفيذ سياستها وخدمة مصالحها. ولا يعتبر نظام التعاقد بين الحكومة الصينية وشركات خاصة جديدا على الساحة الدولية. فكل من إيران وروسيا استخدمت هذا الأسلوب منذ سنوات واستعانت بكيانات خاصة غير حكومية لمهاجمة كيانات ومنظمات تجارية وسياسية في الداخل والخارج.

وعزت الصحيفة سبب زيادة النشاط الصيني في مجال الأمن السيبراني الى تعليمات الرئيس الصيني شي جين بينغ، بتعزيز أدوار الهيئات الحكومية للمشاركة في أعمال القرصنة الالكترونية، بحيث لم تعد تحت سلطة جيش التحرير الشعبي فقط، ولكن تتم إدارة عمليات القرصنة والتجسس بواسطة مكاتب الأمن العام على مستوى المقاطعات كلها. ولا تزال حكومات رسمية إقليمية في الصين ترعى وتدعم هجمات إلكترونية عالية التقنية ضد أهداف عالية الحماية.

كشفت التسريبات أيضا عن استخدام الحكومة الصينية نظام التعاقد مع الشركات لمراقبة أوضاع أقليات إثنية منها أقلية الإيغور. حيث قامت الصين بتوجيه شركة "آي سون" لمراقبة هذه الأقلية في الداخل لفرض سيطرة سياسية على ما تفكر فيه، وكذلك لمراقبة الفارين والمعارضين السياسيين، بما في ذلك الفئات العرقية والأقليات الأخرى.

إقرأ أيضا: "بصمة الصوت" علامة فارقة تجارية وعسكرية

وترى بكين في هذه المجموعات مصدرا محتملا لعدم الاستقرار السياسي في البلاد. حيث كشف تحقيق لصحيفة "وول ستريت جورنال" الأميركية عن رصد مركز شرطة محلي في الصين لمعارضين من أقلية الإيغور المقيمين في نيويورك واستهدافهم بحملات دعائية واستخباراتية تهدف الى جمع أكبر قدر من المعلومات عنهم وخططهم المستقبلية.

يأتي هذا كجزء من الرؤية الأمنية للرئيس الصيني باعتبار الأقليات والمهمشين في الدولة الصينية مصدر تهديد للاستقرار ويجب مراقبتهم واستهدافهم بحملات سيبرانية دقيقة. فذكرت "وول ستريت جورنال" أن الرئيس الصيني استهدف المهمشين في مقاطعات التيبت وهونغ كونغ وشين جيانغ، حيث يوجد عدد كبير من المواطنين الذين يعتبرون أنفسهم غير صينيين. فتم رصد عنوان بروتوكول الانترنت في التسريبات، وهو العنوان نفسه لحملة استخباراتية قامت بها الحكومة الصينية ضد سكان منطقة التيبت في عام 2019 بحملة تحت اسم "بوازن كارب" "Poison Carp"

علاقة "آي سون" بمجموعة "APT41"

كما كشفت التسريبات عن مجموعة الفاعلين الالكترونيين الصينية وعلاقتها بشركة "آي سون". وهي مجموعة تشكلت في عام 2012 ومدعومة من الدولة الصينية لأغراض استخباراتية. من ضمن التكتيكات لهذه المجموعة بأنها تخطط لهجمات على منشآت مالية وصحية وفي مجال الاتصالات وألعاب الفيديو. حيث اشارت وحدة رقم 42 في شركة "بالو ألتو" الأميركية، وهي شركة متخصصة في أمن الشبكات، في تقرير لها نشر في 23 فبراير/شباط الماضي، الى وجود صلة بين المعلومات المسربة وهجمات رصدت في الماضي. على سبيل المثل، تمكنت وحدة 42 من تحديد البنية التحتية لبرامج خبيثة لشركة "آي سون" وعلاقة الشركة بحملتين استخباراتيتين منسوبتين إلى مجموعة "APT41".

الحملة الاولى، كانت في عام 2019 حيث استهدفت الشركة أقليات في منطقة التيبت ببرامج خبيثة على العديد من أنظمة التشغيل. والحملة الثانية كانت في عام 2022 بالهجوم على سلاسل التوريد الخاصة بشركة تكنولوجية في كندا، حيث ثبّت المهاجمون مثبت برامج ضاراً للشركة على موقعها الرسمي. في كلتا الحالتين توجد آثار تعاون بين الشركة ومجموعة "APT41" ، الأمر الذي لا يدع مجالا للشك بأن هذا السلوك من الحكومة الصينية هو ممنهج ومتبع في حالات كثيرة، وتم الكشف عن عدد قليل من الهجمات نظرا الى التعتيم  الحاصل على هذا الأمر. وقد بدأ هذا التسريب يسلط الضوء على شبكة المخترقين في الصين، والأهم هو ربط هذه الهجمات بعضها ببعض لإعادة ترسيم هذه الشبكة العنكبوتية من المجرمين الالكترونيين والفاعلين المهمين المدعومين من الحكومة الصينية.