قراصنة كوريا الشمالية يتحولون من التجسس السيبراني إلى هجمات برامج الفدية
توسعت جهة تهديد مرتبطة بكوريا الشمالية ومعروفة بعمليات التجسس السيبراني تدريجيًا إلى هجمات ذات دوافع مالية تتضمن نشر برامج الفدية، مما يميزها عن مجموعات القرصنة التابعة للدولة القومية الأخرى المرتبطة بالبلاد.
تقوم شركة Mandiant المملوكة لشركة Google بتتبع مجموعة الأنشطة تحت لقب جديد ايه بي تي45، والتي تتداخل مع أسماء مثل Andariel، وNickel Hyatt، وOnyx Sleet، وStonefly، وSilent Chollima.
وقال الباحثون تايلور لونج وجيف جونسون وأليس ريفيلي وفريد بلان ومايكل بارنهارت: “إن APT45 عبارة عن مشغل إلكتروني كوري شمالي طويل الأمد ومتطور إلى حد ما، وقد نفذ حملات تجسس في وقت مبكر من عام 2009”. قال. “لقد كان APT45 هو الأكثر استهدافًا للبنية التحتية الحيوية التي تمت ملاحظتها بشكل متكرر.”
ومن الجدير بالذكر أن APT45، إلى جانب APT38 (المعروف أيضًا باسم BlueNoroff)، وAPT43 (المعروف أيضًا باسم Kimsuky)، وLazarus Group (المعروف أيضًا باسم TEMP.Hermit)، هم عناصر داخل مكتب الاستطلاع العام في كوريا الشمالية (RGB)، منظمة الاستخبارات العسكرية الرائدة في البلاد.
وترتبط APT45 بشكل خاص بنشر عائلات برامج الفدية التي تم تتبعها على أنها كيانات تستهدف SHATTEREDGLASS وMaui في كوريا الجنوبية واليابان والولايات المتحدة في عامي 2021 و2022. وقد وثقت Kaspersky تفاصيل SHATTEREDGLASS في يونيو 2021.
وقال مانديانت: “من المحتمل أن تكون APT45 تنفذ جرائم إلكترونية ذات دوافع مالية ليس فقط لدعم عملياتها الخاصة ولكن لتوليد الأموال لأولويات الدولة الأخرى في كوريا الشمالية”.
هناك برنامج ضار آخر ملحوظ في ترسانتها وهو باب خلفي يطلق عليه اسم Dtrack (المعروف أيضًا باسم Valefor وPreft)، والذي تم استخدامه لأول مرة في هجوم إلكتروني استهدف محطة كودانكولام للطاقة النووية في الهند في عام 2019، مما يمثل واحدة من الحالات القليلة المعروفة علنًا لجهات فاعلة كورية شمالية. ضرب البنية التحتية الحيوية.
وقال مانديانت: “تعد APT45 واحدة من أقدم مشغلي الإنترنت في كوريا الشمالية، ويعكس نشاط المجموعة الأولويات الجيوسياسية للنظام حتى مع تحول العمليات من التجسس الإلكتروني الكلاسيكي ضد الكيانات الحكومية والدفاعية لتشمل الرعاية الصحية وعلوم المحاصيل”.
“نظرًا لأن البلاد أصبحت تعتمد على عملياتها السيبرانية كأداة للسلطة الوطنية، فإن العمليات التي تنفذها APT45 وغيرها من مشغلي الإنترنت في كوريا الشمالية قد تعكس الأولويات المتغيرة لقيادة البلاد.”
وتأتي هذه النتائج في الوقت الذي قالت فيه شركة KnowBe4 للتدريب على الوعي الأمني إنها تعرضت للخداع لتوظيف عامل تكنولوجيا المعلومات من كوريا الشمالية كمهندس برمجيات، والذي استخدم هوية مسروقة لمواطن أمريكي وقام بتعزيز صورته باستخدام الذكاء الاصطناعي (AI).
وقالت الشركة: “لقد كان هذا عاملًا ماهرًا في مجال تكنولوجيا المعلومات من كوريا الشمالية، مدعومًا ببنية تحتية إجرامية مدعومة من الدولة، وذلك باستخدام الهوية المسروقة لمواطن أمريكي يشارك في عدة جولات من المقابلات عبر الفيديو والتحايل على عمليات التحقق من الخلفية التي تستخدمها الشركات بشكل شائع”.
إن جيش عمال تكنولوجيا المعلومات، الذي تم تقييمه على أنه جزء من حزب العمال التابع لإدارة صناعة الذخائر الكورية، لديه تاريخ في البحث عن عمل في الشركات التي يوجد مقرها في الولايات المتحدة من خلال التظاهر بأنهم موجودون في البلاد عندما يكونون بالفعل في الصين وروسيا وقطع الأشجار. عن بعد من خلال أجهزة الكمبيوتر المحمولة الصادرة عن الشركة والتي يتم تسليمها إلى “مزرعة أجهزة الكمبيوتر المحمول”.
قالت KnowBe4 إنها اكتشفت أنشطة مشبوهة على محطة عمل Mac تم إرسالها إلى الفرد في 15 يوليو 2024، الساعة 9:55 مساءً بتوقيت شرق الولايات المتحدة والتي تتكون من معالجة ملفات محفوظات الجلسة، ونقل الملفات التي يحتمل أن تكون ضارة، وتنفيذ برامج ضارة. تم تنزيل البرامج الضارة باستخدام Raspberry Pi.
وبعد خمس وعشرين دقيقة، قالت شركة الأمن السيبراني ومقرها فلوريدا إنها تحتوي على جهاز الموظف. هنالك لا دليل أن المهاجم حصل على وصول غير مصرح به إلى البيانات أو الأنظمة الحساسة.
وقال ستو سجوويرمان، الرئيس التنفيذي لشركة KnowBe4: “إن عملية الاحتيال هي أنهم يقومون بالفعل بالعمل، ويتقاضون رواتب جيدة، ويعطون مبلغًا كبيرًا لكوريا الشمالية لتمويل برامجهم غير القانونية”. قال.
“تسلط هذه الحالة الضوء على الحاجة الماسة إلى عمليات فحص أكثر قوة ومراقبة أمنية مستمرة وتحسين التنسيق بين فرق الموارد البشرية وتكنولوجيا المعلومات والأمن في الحماية من التهديدات المستمرة المتقدمة.”
إرسال التعليق