يحذر مركز NCSC من أن التهديدات المستمرة المتقدمة في كوريا الشمالية تشن هجمات على سلسلة التوريد

الجهات الفاعلة التهديدية المدعومة من كوريا الشمالية تتزايد بشكل متزايد استهداف سلاسل توريد البرمجيات حذر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) من مهاجمة المنظمات على أساس عالمي، وأصبح أكثر مهارة في القيام بذلك، في استشارة مشتركة مع جهاز المخابرات الوطنية في كوريا الجنوبية (NIS).

هذه هي المرة الأولى التي يصدر فيها المركز الوطني للأمن السيبراني (NCSC) استشارة مشتركة دون مشاركة إحدى الوكالات السيبرانية الشريكة له Five Eyes، ويعكس هذا مشاركة كوريا الجنوبية العميقة في الجغرافيا السياسية الإقليمية ومنظورها الفريد بشأن جارتها الشمالية المنعزلة. والتي تظل من الناحية الفنية في حالة حرب بعد 70 عامًا.

في النشرة، يصف كل من NCSC وNIS كيف قامت كوريا الشمالية بتطوير الجهات الفاعلة في مجال التهديد المستمر (APT) – أمثال لعازر هو الأكثر شهرة – يستفيدون الآن من المزيد من نقاط الضعف والاستغلالات في برامج الطرف الثالث للوصول إلى أهداف محددة، أو منظمات عشوائية، من خلال مورديهم.

وتعتقد الوكالات أن هذه الهجمات في عموم الأمر لا تزال تتماشى ــ وتساعد إلى حد كبير ــ مع الأولويات الأوسع لكوريا الشمالية، أي توليد الإيرادات للنظام المعزول الذي يعاني من ضائقة مالية دائمة، وسرقة الملكية الفكرية. والتكنولوجيا التي يُمنع بيونغ يانغ من الوصول إليها بالوسائل القانونية.

وقال بول تشيتشيستر، مدير العمليات في المركز الوطني للأمن الإلكتروني: “في عالم رقمي ومترابط بشكل متزايد، يمكن أن يكون لهجمات سلسلة توريد البرمجيات عواقب عميقة وبعيدة المدى على المؤسسات المتضررة”.

“اليوم، مع شركائنا في جمهورية كوريا، أصدرنا تحذيرًا بشأن التهديد المتزايد من الجهات الفاعلة السيبرانية المرتبطة بالدولة في جمهورية كوريا الديمقراطية الشعبية والتي تنفذ مثل هذه الهجمات بتطور متزايد. ونحن نشجع المؤسسات بشدة على اتباع الإجراءات التخفيفية الواردة في التحذير لتحسين مرونتها في مواجهة هجمات سلسلة التوريد وتقليل مخاطر التعرض للخطر.”

في إحدى الحوادث التي يعود تاريخها إلى مارس 2023، استخدم أحد قراصنة Lazarus ثغرات أمنية في تطبيق المصادقة MagicLine4NX، الذي طورته شركة مقرها كوريا الجنوبية DreamSecurity. قامت العصابة أولاً باختراق موقع الويب الخاص بأحد وسائل الإعلام حيث قاموا بإنشاء ما يسمى بثغرة المياه من خلال نشر نصوص برمجية ضارة في مقال منشور، والذي تم تشغيله عندما فتح شخص ما المقال وقرأه عبر الإنترنت باستخدام جهاز كمبيوتر يشغل إصدارًا ضعيفًا من MagicLine4NX.

ثم اتصلت الأجهزة المصابة بأنظمة القيادة والتحكم (C2) الخاصة بـ Lazarus والتي استولت على الكمبيوتر، وبعد ذلك تمكنت العصابة من الوصول إلى خادم متصل بالإنترنت ونظام مرتبط بالشبكة في يوم الصفر، واستغلال وظيفة مزامنة البيانات في هذا النظام لنشر تعليمات برمجية ضارة إلى خادم جانب العمل، وتصفية بيانات الضحايا.

وفي شهر مارس من هذا العام أيضًا، كانت جهات التهديد الكورية الشمالية المرتبطة بـLazarus وراء ما يُعتقد أنه كان أول هجوم مزدوج على سلسلة التوريد في العالم الذي – التي العملاء المتأثرين بـ 3CX، منصة اتصالات موحدة (UC).

تم اكتشاف أن هذا الحل الوسط قد نشأ عبر أداة تثبيت بها برامج ضارة لمنصة تداول العقود الآجلة المتوقفة والتي من المحتمل أن يكون شخص ما في 3CX قد قام بتنزيلها على نظامه دون إذن، وليس لدى 3CX علاقة عمل مع مطور المنصة، Trading Technologies.

أدى ذلك إلى اختراق تطبيق سطح المكتب 3CX لكل من أنظمة macOS وWindows بعد أن تمكن Lazarus من الوصول إلى عمليات إنشاء 3CX.

المرحلة التي لوحظت فصاعدا في تدفق هجوم ويندوز كان نشر أداة سرقة المتصفح التي قامت بتسريب بيانات النظام الأساسية ومعلومات حساب الضحية 3CX وسجلات التصفح من Brave أو Chrome أو Edge أو Firefox إذا كانت موجودة. تدفق هجوم macOS، والذي استخدم برنامجًا ضارًا يسمى المشغل السلس، شاهدت معلومات حساب 3CX مأخوذة من ملف التكوين الموجود على الجهاز المخترق.

ينصح NCSC وNIS فرق أمان المستخدم النهائي بتنفيذ عدد من إجراءات التخفيف المتعلقة بدورة حياة سلسلة التوريد، وإجراءات الأمن الإدارية والتقنية، لردع Lazarus وأمثاله.

وتشمل هذه التدابير:

• رفع الوعي الداخلي بهجمات سلسلة التوريد وتعزيز فهم الموظفين لها؛
• توفير تدريب منتظم لمساعدة الموظفين على اكتشاف المشكلات المحتملة؛
• تدقيق وتحديد التهديدات التي تواجه سلسلة التوريد الخاصة بالمؤسسة، وتحديد الأولويات، وتقييم التأثيرات عند حدوث نشاط ضار للقضاء على النقاط العمياء؛
• التحقق من نقاط الوصول إلى البيانات المهمة وتقييم من لديه سلطة الوصول إليها – سواء كانوا موظفين أو موردين – ونشر مبادئ الامتيازات الأقل حيثما كان ذلك مناسبًا؛
• الحفاظ على تحديث كافة البرامج وتصحيحها، بما في ذلك منتجات مكافحة الفيروسات؛
• اعتماد وإنفاذ المصادقة الثنائية الإلزامية لتسجيلات دخول المسؤول والعمليات؛
• مراقبة البنية التحتية للشبكة لتحديد الشكل الذي تبدو عليه حركة المرور الموثوقة من تطبيقات برامج سلسلة التوريد، من أجل اكتشاف أي شيء غير طبيعي.

هناك أيضا مجموعة من الموارد الإضافية متاح من NCSC، الوكالات الشريكة بما في ذلك الهيئات الحكومية الأمريكية، ومنظمات المعايير مثل المعهد الوطني للمعايير والتكنولوجيا.