استغل مجموعة من القراصنة الإلكترونيين «الهاكرز»، تقويم جوجل كقناة اتصال لاستخراج معلومات حساسة عن المستخدمين، إذ اكتشف قسم الأمن السيبراني في شركة التكنولوجيا العملاقة، في أكتوبر 2024، موقعًا إلكترونيًا حكوميًا مخترقا، وتبين أنه يُستخدم لنشر برمجيات خبيثة، فبمجرد إصابة الجهاز، يُنشئ البرنامج الخبيث منفذًا خلفيًا باستخدام تقويم جوجل، ما يسمح للمُشغّل باستخراج البيانات، وعطلت جوجل بالفعل، حسابات التقويم والأنظمة الأخرى التي استخدمها المتسللون.
قراصنة مرتبطون بالصين يستخدمون تقويم جوجل في الاختراق
وفقا لموقع «cybersecuritydive»، فإن المخترقون المرتبطون بهذا الهجوم هي مجموعة «APT41»، المعروفة أيضًا باسم HOODOO، وهي جماعة تهديد، يُعتقد أنها مرتبطة بالحكومة الصينية، إذ كشف تحقيق أجرته مجموعة استخبارات التهديدات التابعة لشركة جوجل (GTIG) أن APT41 استخدمت أسلوب التصيد الاحتيالي الموجه لإيصال البرامج الضارة إلى الأهداف.
ويعرف التصيد الاحتيالي الموجه، بأنه شكل مستهدف من التصيد الاحتيالي، إذ يُخصّص المهاجمون رسائل بريد إلكتروني لأفراد محددين، تحتوي على رابط لملف ZIP مُستضاف على الموقع الإلكتروني الحكومي المُخترق، وعندما يفتح شخصٌ الملف، يظهر ملف اختصار LNK (.lnk)، مُموّهًا ليبدو كملف PDF، بالإضافة إلى مجلد.
ماذا يوجد في المجلد الوهمي؟
يحتوى المجلد على سبع صور JPG لمفصليات، لكن «GTIG» لفتت إلى أن المدخلين السادس والسابع هما صورتان وهميتان تحتويان في الواقع على حمولة مشفرة وملف مكتبة ارتباط ديناميكي (DLL) لفك تشفير الحمولة، وعندما ينقر الهدف على ملف LNK، يُفعّل كلا الملفين، ومن المثير للاهتمام أن ملف LNK يُحذف تلقائيًا ويُستبدل بملف PDF مزيف يُعرض للمستخدم، ويُشير هذا الملف إلى ضرورة الإعلان عن الأنواع المعروضة للتصدير، وذلك على الأرجح لإخفاء محاولة الاختراق وتجنب إثارة الشكوك.
المرحلة الأولى فك تشفير ملف DLL باسم PLUSDROP وتشغيله مباشرةً في الذاكرة، أما المرحلة الثانية تُشغّل عملية Windows شرعية وتُجري عملية تفريغ للبرامج، وهي تقنية يستخدمها المهاجمون لتشغيل برمجيات خبيثة متخفيةً في صورة عملية شرعية لحقن الحمولة النهائية.
وهناك نوع آخر من البرامج الخبيثة يُطلق عليه TOUGHPROGRESS، فهو يُنفذ مهامًا خبيثة على الجهاز ويتواصل مع المُهاجم عبر تقويم جوجل، ويستخدم التطبيق السحابي كقناة اتصال عبر تقنية القيادة والتحكم (C2).
تضيف البرامج الضارة حدثًا تقويميًا مدته صفر دقيقة في تاريخ مبرمج مسبقًا (30 مايو 2023)، يخزن البيانات المشفرة من الكمبيوتر المخترق في حقل وصف الحدث، كما يُنشئ حدثين آخرين في تاريخين مُبرمجين مسبقًا (30 و31 يوليو 2023)، ما يمنح المهاجم منفذًا خلفيًا للتواصل مع البرنامج الخبيث، ويفحص TOUGHPROGRESS التقويم بانتظام بحثًا عن هذين الحدثين، عندما يرسل المهاجم أمرًا مشفّرًا، فإنه يفك تشفيره وينفّذه، وثم يرسل النتيجة بإنشاء حدث جديد في الدقيقة صفر مع المخرجات المشفّرة.
ولتعطيل حملة البرمجيات الخبيثة، ابتكر فريق GTIG أساليب كشف مخصصة لتحديد حسابات تقويم جوجل التابعة لـAPT41 وإزالتها، كما أغلق الفريق مشاريع جوجل وورك سبيس التي يسيطر عليها المهاجم، ما أدى فعليًا إلى تعطيل البنية التحتية المستخدمة في العملية، وقامت شركة التكنولوجيا العملاقة أيضًا بتحديث أنظمة اكتشاف البرامج الضارة الخاصة بها وحظرت المجالات وعناوين URL الضارة باستخدام التصفح الآمن من Google.