بدأت جهة فاعلة في تهديد الدولة القومية، تدعمها حكومة كوريا الشمالية، مرحلة جديدة من حملة عمرها عامين تقريبًا تستهدف الباحثين الشرعيين في مجال الأمن السيبراني، مستفيدة من عملية لم يتم الكشف عنها بعد. صفر يوم للوصول إلى ضحاياهم.
تم الكشف عن يوم الصفر المعني بواسطة مجموعة تحليل التهديدات في Google (بطاقة شعار). لقد تم إبلاغ المورد الذي يؤثر على منتجه وهو الآن في طور التصحيح. ولأسباب تتعلق بالأمن التشغيلي، لا يمكن قول المزيد عن ذلك.
ومع ذلك، قال باحثا TAG، كليمنت ليسين ومادي ستون، إنهما يكشفان عن بعض تفاصيل عملهما الآن لحماية المجتمع.
“بينما يستمر تحليلنا لهذه الحملة، فإننا نقدم إخطارًا مبكرًا بالنتائج الأولية التي توصلنا إليها لتحذير مجتمع الأبحاث الأمنية. نأمل أن يذكّر هذا الباحثين الأمنيين بأنهم قد يصبحون أهدافًا للمهاجمين المدعومين من الحكومة وأن يظلوا يقظين بشأن الممارسات الأمنية.
“نحن ملتزمون بمشاركة النتائج التي توصلنا إليها مع المجتمع الأمني لرفع مستوى الوعي، ومع الشركات والأفراد الذين ربما كانوا مستهدفين بهذه الأنشطة. ونأمل أن يؤدي الفهم المحسن للتكتيكات والتقنيات إلى تعزيز قدرات صيد التهديدات ويؤدي إلى حماية أقوى للمستخدمين في جميع أنحاء الصناعة.”
نشاط المجموعة تم تسليط الضوء عليه لأول مرة في يناير 2021، على الرغم من أن TAG كانت تتعقبه لعدة أشهر قبل ذلك. قضى ممثل التهديد وقتًا وجهدًا كبيرًا في بناء المصداقية باعتباره باحثًا أمنيًا مفترضًا، وأنشأ مدونة بحثية واستخدم الملفات الشخصية على تويتر (الآن X) للتفاعل مع أهدافه وتوسيع نطاق وصوله.
لقد واجهوا أيضًا مشكلة ملء مدونتهم بمحتوى يعرض تفاصيل التهديدات ونقاط الضعف الجديدة التي تم الكشف عنها علنًا، وحتى طلب مشاركات الضيوف من أهدافهم غير المقصودة.
تستخدم الحملة الأخيرة للمجموعة X لبناء علاقة اجتماعية مع أهدافها، وفي إحدى الحالات، تجري محادثة استمرت أشهرًا حاولوا فيها التعاون مع باحث واحد في موضوعات محل اهتمام.
ومع ذلك، فقد استخدم ممثل التهديد الآن حسابًا تم إنشاؤه على مثيل Infosec.Exchange Mastodon المزدهر لمحترفي الأمن، والذي يضم حاليًا أكثر من 18000 عضو، العديد منهم باحثون بارزون وقادة في منظمات إلكترونية رفيعة المستوى.
وبعد إجراء الاتصال عبر وسائل التواصل الاجتماعي، يقومون بنقل محادثاتهم إلى تطبيقات المراسلة المشفرة مثل Signal أو WhatsApp لتطوير العلاقة بشكل أكبر. وبمجرد الانتهاء من ذلك، يرسل ممثل التهديد ملفًا ضارًا يحتوي على يوم الصفر في “حزمة برامج شائعة”.
ويؤدي استغلال يوم الصفر هذا إلى جمع المعلومات وتسريبها، بما في ذلك لقطات الشاشة، إلى مجال القيادة والتحكم الخاص بممثل التهديد. وأشار ليسين وستون إلى أن كود القشرة الموجود في الاستغلال تم إنشاؤه بشكل مشابه لتلك المستخدمة في برمجيات إكسبلويت أخرى في كوريا الشمالية.
تخلص من GetSymbol
لكن الحملة الجديدة لا تنتهي عند هذا الحد. اكتشف فريق TAG أن جهة التهديد قد طورت الآن أداة Windows مستقلة تسمى GetSymbol تستخدم لتنزيل رموز تصحيح الأخطاء من خوادم رموز Microsoft وGoogle وMozilla وCitrix بغرض الهندسة العكسية.
تم نشر الكود المصدري للأداة المساعدة GetSymbol، والذي يمكن أن يكون له استخدامات مشروعة للباحث، على GitHub في أواخر عام 2022 وتم تحديثه منذ ذلك الحين. ومع ذلك، فهو يتمتع أيضًا بالقدرة على تنزيل وتنفيذ تعليمات برمجية عشوائية من مجال جهة التهديد.
“إذا قمت بتنزيل هذه الأداة أو تشغيلها، توصي TAG باتخاذ الاحتياطات اللازمة للتأكد من أن نظامك في حالة نظيفة معروفة، ومن المحتمل أن يتطلب ذلك إعادة تثبيت نظام التشغيل”، حذر Lecigne وStone.
وتعليقًا على النتائج التي توصل إليها فريق TAG، قال مايورش داني، مدير أبحاث التهديدات في كواليسوقال إن استهداف الباحثين عن التهديدات كان اتجاهًا متزايدًا، والجهات الفاعلة الأخرى في مجال التهديد في كوريا الشمالية بما في ذلك سيئ السمعة مجموعة لازاروس من المعروف أن تفعل شيئا مماثلا.
وأوضح داني لماذا قد يقدم الباحثون الأمنيون هدفًا مغريًا للغاية بحيث لا يمكن لممثل التهديد تفويته. “[They] وقال: “استخدام أنظمة تكون عادةً أقل حماية، لأنها تحتاج إلى ضوابط أمنية متساهلة لأداء الأنشطة اليومية مثل أبحاث الثغرات الأمنية، والهندسة العكسية، وتحليل البرامج الضارة”.
“على الرغم من أن هذه الأنظمة غير مرتبطة ببيئة الشركة، فإن موطئ قدم على أحد هذه الأجهزة أو قطاع الشبكة من شأنه أن يسمح لمهاجمي التهديدات بمحاولة الانتقال أفقيًا إلى بيئات مؤسسية أخرى. وقد يسمح لهم هذا أيضًا بالتحايل على الآليات الأمنية العادية، فضلاً عن مراقبة أنشطة البحث الأمني في تلك المنظمة بالذات.
“نصيحة الباحثين في مجال الأمن هي فحص أي أداة قبل استخدامها في مهامهم اليومية. عندما يكون الكود المصدري لهذه الأدوات متاحًا، يجب أيضًا فحصه مثل أي برنامج آخر. إذا لم يتم تطبيق أي حماية على هذه الأنظمة، فيجب تمكين تسجيل الأمان على الأقل. وهذا يمكن أن يمكّن المؤسسات من اكتشاف مثل هذه التهديدات والرد عليها.
