ايجى 2030 /
نشر فريق البحث والتحليل العالمي التابع لكاسبرسكي، في العام 2018، تقريرًا يتعلّق بنتائج عملية AppleJeusالتي هدفت إلى سرقة العملاتالرقمية ونفذتها مجموعة التهديدات الشهيرة Lazarus. وتُظهر معلومات جديدة أن العملية مستمرة مع اتخاذ العصابة سيئة السمعة خطوات أكثر حذراً وتكتيكات وإجراءات محسنة، فضلًا عن استخدامها تطبيق التواصل الشهيرTelegram كأحد نواقل الهجوم الجديدة. ووقعت كيانات في بريطانيا وبولندا وروسيا والصين ضحيةلهذه العملية.
وتُعدّعصابة أو مجموعة Lazarus واحدة من أكثر الجهات التخريبية نشاطًا وتأثيرًا في مجال التهديداتالمتقدمة المستمرة، واستطاعت تنفيذ عدد من الحملات والعمليات التي استهدفت شركات ذات علاقة بمجال العملات الرقمية. أثناء عملية AppleJeus الأولىفي 2018، أنشأت المجموعة شركة عملات رقميةوهمية من أجل تقديم طلباتهم الاحتيالية واستغلال المستوى العالي من الثقة بين الضحايا المحتملين. وتميزت هذه العملية ببناءLazarus أول برمجية خبيثة تستهدف نظام التشغيل macOS. وجرى تنزيل التطبيق من قبل مستخدمين لمواقع ويب تابعة لأطراف أخرى وتم إيصال الحمولة البرمجية الخبيثة إلى أجهزة الضحايا عبر ما جرى تمويهه ليبدو تحديثًا منتظمًا للتطبيق. ومكّنت الحمولة المهاجمين من السيطرة الكاملة على أجهزة المستخدمين وسرقة العملات الرقمية.
وحدّد باحثو كاسبرسكي تغييرات مهمة في تكتيكات الهجوم الذي شنته المجموعة في عملية لاحقة للأولى، إذ جرى إضفاء بعض التحسينات على الهجوم الذي جرى في 2019 بالرغم من تقليد ناقل البرمجية الخبيثة. وأنشأت Lazarusفي هجومها اللاحق مواقع ويب مزيفة للعملات الرقمية اشتملت على روابط إلى قنوات Telegramتتبع شركة وهمية وتوصل إلى من يصلون إليها برمجيات خبيثة عبر تطبيق التواصل.
وتألف الهجوم من مرحلتين، كما في عملية AppleJeus الأولى،إذ نزّل المستخدمون أولاً أحد التطبيقات لتعملأداةتنزيل مرتبطةبالتطبيق على جلب الحمولة التالية من خادم بعيد، ما مكّن المهاجمين في النهاية من التحكّم الكامل في الجهاز المصاب من خلال منفذ خلفي دائم. ولكن حرص المهاجمون هذه المرة على تسليم الحمولة بعناية من أجل تجنب الكشف عنها من قبل الحلول الأمنية المستندة إلى السلوك.وجرت إضافة آلية مصادقة إلى أداة التنزيل في الهجمات التي تستهدف الأجهزة العاملة بنظام التشغيل MacOS، مع تغيير إطار تطوير الهجوم، كما اعتمد في هذه المرّة أسلوبالإصابة من دون ملف.
وقد تجنّب المهاجمونعند استهداف مستخدمي النظام Windows استخدام البرمجية الخبيثة Fallchill (التي كانت استخدمت في العملية الأولى)، وأنشأوا برمجية خبيثة تعمل فقط على أنظمة محدّدة بعد التحقّق منها إزاء مجموعة من القيم المعطاة. وتثبت هذه التغييرات أن جهة التهديد أصبحت أكثر حذرًا في هجماتها، بعد توظيف أساليب جديدة لتجنب الكشف عنها.
وأجرت Lazarus تعديلات جوهرية في البرمجيات الخبيثة الخاصة بنظام التشغيل macOS وتوسّعتفي عدد الإصدارات. وبخلاف ما حدث في الهجوم السابق، الذي استخدمت خلاله Lazarus البرمجية مفتوحة المصدر QtBitcoinTraderلبناء أداة تثبيت خاصة بالنظام macOS، فقد بدأت أثناء العملية اللاحقة باستخدام شيفرتهم البرمجية محلية الصنع لبناء أداة التثبيت الخبيثة. وتدلّ هذه التطورات على أن جهة التهديد ستواصل إنشاء تعديلات على البرمجيات الخبيثة الخاصة بالنظام MacOS وأن اكتشاف كاسبرسكيلها كان نتيجة وسيطة لهذه التغييرات.
وقال سيونغسو بارك الباحث الأمني في كاسبرسكي، إن عملية AppleJeusاللاحقة توضّح أنLazarusلا تزال تواصل الاستثمار في الهجمات المرتبطة بالعملات الرقمية على الرغم من الركود الكبير في أسواقها، ما يجعل هذه الحملة”أكثر تطوراً”، وأضاف: “تُظهر التغييرات الإضافية وتنويع المجموعة التخريبية في البرمجيات الخبيثة أنه لا يوجد سبب للاعتقاد بأن هذه الهجمات لن تنمو عددًا وخطورة”.
وتشتهر مجموعة Lazarus، المرتبطة بكوريا الشمالية،بعملياتها المتطورةوبهجمات التجسّس الإلكتروني والتخريب الإلكتروني، فضلًا عن الهجمات ذات الدوافع المالية. وقد سبق أن أبلغ عدد من الباحثين، بمن فيهم باحثون في كاسبرسكي، عن استهداف هذه المجموعة بنوكًا ومؤسسات مالية كبيرة أخرى.
وتوصي كاسبرسكي شركات العملات الرقمية باتخاذ التدابير التاليةللحماية من هذه الهجمات وأية هجمات مماثلة:
• تقديم التدريب التوعوي الأمني الأساسي لجميع الموظفين حتى يتمكنوا بطريقة أفضل من تمييز محاولات الخداع.
• إجراء تقييم لأمن التطبيقات. قد يساعد على إظهار الاعتمادية للمستثمرين المحتملين.
• رصد الثغرات الناشئة في بيئات تنفيذ العقود الذكية.
توصي كاسبرسكي المستهلكين الذين يبحثون في إمكانية شراء عملات رقمية أو يخططون له، باتباع التالي:
• استخدام منصات عملات رقمية معروفة وموثوق بها.
• تجنّب النقر على روابط تدعي أنها تصل المستخدم ببنك أو محفظة عبر الإنترنت.
• استخدم حل أمني موثوق به، مثل Kaspersky Security Cloud، للحماية الشاملة من مجموعة واسعة من التهديدات.
يمكن الاطلاع على تفاصيل أوفى عن حملة AppleJeus اللاحقة على Securelist.com.
