وزارة العدل الأمريكية تتهم هاكرًا كوريًا شماليًا بهجمات برامج الفدية على المستشفيات

كشفت وزارة العدل الأمريكية (DoJ) يوم الخميس عن لائحة اتهام ضد أحد عملاء المخابرات العسكرية الكورية الشمالية بزعم تنفيذ هجمات فدية ضد مرافق الرعاية الصحية في البلاد وتحويل المدفوعات لتنظيم عمليات اختراق إضافية في الدفاع والتكنولوجيا والكيانات الحكومية عبر الولايات المتحدة. عالم.

“ريم جونغ هيوك وقام المتآمرون معه بنشر برامج فدية لابتزاز المستشفيات وشركات الرعاية الصحية الأمريكية، ثم قاموا بغسل العائدات للمساعدة في تمويل الأنشطة غير المشروعة لكوريا الشمالية. قال بول أباتي، نائب مدير مكتب التحقيقات الفيدرالي (FBI). “إن هذه الأعمال غير المقبولة وغير القانونية تعرض حياة الأبرياء للخطر.”

بالتزامن مع لائحة الاتهام، وزارة الخارجية الأمريكية أعلن مكافأة تصل إلى 10 ملايين دولار مقابل معلومات قد تؤدي إلى مكان وجوده، أو التعرف على أفراد آخرين على صلة بالنشاط الضار.

يُقال إن هيوك، وهو جزء من طاقم قرصنة يُطلق عليه اسم Andariel (ويُعرف أيضًا باسم APT45 وNickel Hyatt وOnyx Sleet وSilent Chollima وStonefly وTDrop2)، يقف وراء الهجمات السيبرانية المتعلقة بالابتزاز والتي تتضمن سلالة من برامج الفدية تسمى Maui، والتي تم الكشف عنها لأول مرة في 2022 كاستهداف المنظمات في اليابان والولايات المتحدة

تم غسل مدفوعات الفدية من خلال وسطاء مقرهم هونغ كونغ، وتحويل العائدات غير المشروعة إلى اليوان الصيني، وبعد ذلك تم سحبها من ماكينة الصراف الآلي واستخدامها لشراء خوادم خاصة افتراضية (VPSes) والتي بدورها، تم استخدامها لتهريب وسائل الدفاع الحساسة و تكنولوجيا المعلومات.

تشمل أهداف الحملة قاعدتين للقوات الجوية الأمريكية، ووكالة NASA-OIG، بالإضافة إلى مقاولي الدفاع الكوريين الجنوبيين والتايوانيين وشركة طاقة صينية.

في إحدى الحالات التي أبرزتها وزارة الخارجية، أدى الهجوم السيبراني الذي بدأ في نوفمبر 2022 إلى قيام الجهات الفاعلة في مجال التهديد بتسريب أكثر من 30 غيغابايت من البيانات من مقاول دفاع لم يذكر اسمه ومقره الولايات المتحدة. وشمل ذلك معلومات فنية غير سرية تتعلق بالمواد المستخدمة في الطائرات العسكرية والأقمار الصناعية.

وأعلنت الوكالات أيضًا عن “حظر ما يقرب من 114 ألف دولار من عائدات العملة الافتراضية لهجمات برامج الفدية ومعاملات غسيل الأموال ذات الصلة، بالإضافة إلى الاستيلاء على الحسابات عبر الإنترنت التي يستخدمها المتآمرون المشاركون لتنفيذ نشاطهم السيبراني الخبيث”.

Andariel، التابع للمكتب الثالث لمكتب الاستطلاع العام (RGB)، لديه رقم قياسي ضرب الشركات الأجنبية والحكومات والصناعات الفضائية والنووية والدفاعية بهدف الحصول على معلومات فنية حساسة وسرية وملكية فكرية لتعزيز التطلعات العسكرية والنووية للنظام.

وتشمل الأهداف الأخرى المثيرة للاهتمام في الآونة الأخيرة المؤسسات التعليمية في كوريا الجنوبية، وشركات البناء، ومنظمات التصنيع.

“تشكل هذه المجموعة تهديدًا مستمرًا لمختلف قطاعات الصناعة في جميع أنحاء العالم، بما في ذلك، على سبيل المثال لا الحصر، كيانات في الولايات المتحدة وكوريا الجنوبية واليابان والهند”، حسبما ذكرت وكالة الأمن القومي (NSA). قال. “تمول المجموعة نشاطها التجسسي من خلال عمليات برامج الفدية ضد كيانات الرعاية الصحية الأمريكية.”

يتم الوصول الأولي إلى الشبكات المستهدفة عن طريق استغلال الثغرات الأمنية المعروفة في N-day في التطبيقات التي تواجه الإنترنت، مما يمكّن مجموعة القرصنة من إجراء استطلاع متابعة، وتعداد نظام الملفات، والاستمرارية، وتصعيد الامتيازات، والحركة الجانبية، وخطوات استخراج البيانات باستخدام مجموعة من الأبواب الخلفية المخصصة، وأحصنة طروادة التي يمكن الوصول إليها عن بعد، والأدوات الجاهزة، والأدوات المساعدة مفتوحة المصدر المتاحة لهم.

تستلزم نواقل توزيع البرامج الضارة الموثقة الأخرى استخدام رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات ضارة، مثل ملفات Microsoft Windows Shortcut (LNK) أو ملفات البرامج النصية لتطبيق HTML (HTA) داخل أرشيفات ZIP.

“إن الجهات الفاعلة على دراية جيدة باستخدام الأدوات والعمليات المحلية على الأنظمة، المعروفة باسم العيش خارج الأرض (LotL)،” وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). قال. “إنهم يستخدمون سطر أوامر Windows، وPowerShell، وسطر أوامر Windows Management Instrumentation (WMIC)، وLinux bash، لتعداد النظام والشبكة والحساب.”

ووصفت مايكروسوفت، في نصائحها الخاصة بشأن Andariel، بأنها تعمل باستمرار على تطوير مجموعة أدواتها لإضافة وظائف جديدة وتنفيذ طرق جديدة لتجاوز الكشف، مع عرض “نمط هجوم موحد إلى حد ما”.

“إن قدرة Onyx Sleet على تطوير مجموعة من الأدوات لإطلاق سلسلة هجماتها المجربة والحقيقية تجعلها تهديدًا مستمرًا، خاصة للأهداف التي تهم المخابرات الكورية الشمالية، مثل المنظمات في قطاعات الدفاع والهندسة والطاقة”. صانع ويندوز ذُكر.

بعض الأدوات الجديرة بالملاحظة التي أبرزتها Microsoft مذكورة أدناه –

• TigerRAT – برنامج ضار يمكنه سرقة المعلومات السرية وتنفيذ الأوامر، مثل تسجيل لوحة المفاتيح وتسجيل الشاشة، من خادم الأوامر والتحكم (C2)
• SmallTiger – باب خلفي بلغة C++
• LightHand – باب خلفي خفيف الوزن للوصول عن بعد إلى الأجهزة المصابة
• ValidAlpha (المعروف أيضًا باسم Black RAT) – باب خلفي قائم على Go يمكنه تشغيل ملف عشوائي، وسرد محتويات الدليل، وتنزيل ملف، والتقاط لقطات شاشة، وإطلاق shell لتنفيذ أوامر عشوائية
• Dora RAT – “سلالة برمجيات خبيثة بسيطة” مع دعم للصدفة العكسية وقدرات تنزيل/تحميل الملفات

وقال أليكس روز، مدير أبحاث التهديدات والشراكات الحكومية في شركة Secureworks: “لقد تطورت من استهداف المؤسسات المالية الكورية الجنوبية بهجمات تخريبية إلى استهداف الرعاية الصحية الأمريكية ببرامج الفدية، المعروفة باسم Maui، على الرغم من أنها ليست على نفس نطاق مجموعات الجرائم الإلكترونية الناطقة باللغة الروسية”. وقالت وحدة مكافحة التهديدات.

“هذا بالإضافة إلى مهمتهم الأساسية المتمثلة في جمع المعلومات الاستخبارية عن العمليات العسكرية الأجنبية والحصول على التكنولوجيا الاستراتيجية.”

Andariel هو مجرد واحد من عدد لا يحصى من أطقم القرصنة التي ترعاها الدولة والتي تعمل تحت إشراف حكومة كوريا الشمالية وجيشها، إلى جانب مجموعات أخرى يتم تتبعها مثل Lazarus Group وBlueNoroff وKimsuky وScarCruft.

وأضاف روز: “على مدى عقود، تورطت كوريا الشمالية في توليد إيرادات غير مشروعة من خلال مؤسسات إجرامية، للتعويض عن نقص الصناعة المحلية وعزلتها الدبلوماسية والاقتصادية العالمية”.

“لقد تم اعتماد الإنترنت بسرعة كقدرة استراتيجية يمكن استخدامها لجمع المعلومات الاستخبارية وكسب المال. وفي حين كانت مجموعات مختلفة تغطي هذه الأهداف تاريخيًا، إلا أنه في السنوات القليلة الماضية كان هناك عدم وضوح في الخطوط والعديد من الحواجز”. كما انخرطت مجموعات التهديد السيبراني التي تعمل نيابة عن كوريا الشمالية في أنشطة كسب المال.