كاسبرسكي تكشف بعض حيل مجموعة القرصنة الكورية ScarCruft

الثلاثاء, مايو 28, 2019

البوابة العربية للأخبار التقنية البوابة العربية للأخبار التقنية

اكتشف باحثون لدى شركة كاسبرسكي لاب؛ يراقبون نشاط المجموعة التخريبية ذات المهارة العالية ScarCruft الناطقة باللغة الكورية، أنها تطور أدوات وتقنيات جديدة وتختبرها.

كما اكتشف باحثو الشركة الروسية الرائدة في مجال أمن المعلومات أن المجموعة توسّع نطاق المعلومات التي تُجمع من الضحايا، وتزيد من حجم تلك المعلومات. ووجدوا كذلك أن من بين الأشياء الأخرى التي تقوم بها المجموعة التخريبية: إنشاء شيفرة برمجية قادرة على تحديد أجهزة المتصلة عبر تقنية البلوتوث.

ويُعتقد أن التهديد المتقدم المستمر الذي تمثله ScarCruft يجري برعاية حكومية، إذ عادةً ما تستهدف كيانات حكومية وشركات لها علاقات بشبه الجزيرة الكورية، بحثًا فيما يبدو عن معلومات ذات أهمية سياسية. وثمّة دلائل لاحظتها كاسبرسكي لاب على أن المجموعة التخريبية تطوّر وتختبر أدوات خبيثة جديدة، وأن لديها اهتمامًا متزايدًا في الحصول على البيانات من الأجهزة المحمولة؛ مُظهرةً قدرتها على تكييف الأدوات والخدمات الشرعية واستخدامها لصالح عمليات التجسس الإلكتروني التي تُجريها.

وأشار باحثو كاسبرسكي لاب إلى أن هجمات المجموعة، مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة، تبدأ إما عن طريق التصيّد الموجّه أو الاختراق الاستراتيجي لمواقع الويب، والذي يُعرف أيضًا باسم هجمات “كمائن بِرك الشرب” Watering-Hole باستغلال ثغرات أو باللجوء إلى حيل أخرى لإصابة زوار محددين لبعض مواقع الويب التي يتمّ اختراقها ونصب الكمين فيها.

ويُنفَّذ هذا الأمر، في حالة ScarCruft، عبر مراحل؛ أولها: إصابة تتيح تجاوز التحكّم في حساب مستخدم النظام “ويندوز” Windows، للتمكّن من تنفيذ الخطوة التالية بإنزال الحمولة الخبيثة عبر امتيازات أعلى وباستخدام شيفرة برمجية عادةً ما توظفها الشركات توظيفًا شرعيًا لاختبار قدرة الجهات التخريبية على اختراق أنظمتها التقنية. وتستخدم البرمجية الخبيثة أسلوب “ستيغانوغرافي”، أو مواراة المعلومات وإخفائها، من أجل تجنب الانكشاف عند المستوى الشبكي، مُخفية الشيفرة الخبيثة داخل ملف صورة.

وتتمثل المرحلة الأخيرة من الهجوم بتثبيت منفذ خلفي قائم على الخدمة السحابية يُعرف باسم ROKRAT. ويجمع هذا المنفذ الخلفي مجموعة كبيرة من المعلومات من الأنظمة والأجهزة التي وقعت ضحية للهجوم، ويمكنه إعادة توجيهها إلى أربع خدمات سحابية، هي: “بوكس” Box، و”دروب بوكس” Dropbox، و”بي كلاود” pCloud، و”ياندسك.ديسك” Yandex.Disk.

وكشف باحثو كاسبرسكي لاب عن اهتمام المجموعة بسرقة البيانات من الأجهزة المحمولة، فضلًا عن برمجيات خبيثة تأخذ صورًا لبصمات الأصابع من أجهزة البلوتوث باستخدام واجهة برمجة التطبيقات الخاصة ببلوتوث في النظام “ويندوز” Windows Bluetooth API.

ووُجد استنادًا إلى بيانات القياس عن بُعد، بأنه كان من ضحايا هذه الحملة شركات استثمارية وتجارية في فيتنام وروسيا قد تكون على علاقة بكوريا الشمالية، فضلًا عن كيانات دبلوماسية في هونغ كونغ وكوريا الشمالية. ووُجد كذلك أن ضحية في روسيا أُصيبت بهجوم ScarCruft كان قد سبق لها أن أصيبت بهجوم شنته مجموعة DarkHotel الناطقة بالكورية.

وقال (سيونغسو بارك) أحد كبار الباحثين الأمنيين في فريق الأبحاث والتحليلات العالمي التابع لكاسبرسكي لاب: إن هذه ليست المرة الأولى التي يُشاهد فيها تداخل بين ScarCruft، وDarkHotel، مشيرًا إلى وجود “اهتمامات متشابهة” بالأهداف لدى المجموعتين، بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما.

وقال بارك: “يقودنا هذا الأمر إلى الاعتقاد بأن إحدى المجموعتين تتربص بضحاياها بانتظام في ظل المجموعة الأخرى، ومع أن ScarCruft تتسم بالحذر ولا ترغب في الظهور، فقد أثبتت أنها مجموعة تتمتع بمهارات عالية ونشاط كبير، مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها، ونعتقد بأنها سوف تواصل التقدّم”.

وتقول كاسبرسكي لاب: إن جميع منتجاتها قادرة على اكتشاف ومنع هذا التهديد. ومن أجل تجنب الوقوع ضحية لهجوم موجه تشنه جهة تهديد معروفة أو مجهولة، يوصي باحثون الشركة بتزويد فريق مركز العمليات الأمنية التابع للشركة بالقدرة على الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، لمواكبة الأدوات والتقنيات والأساليب الجديدة والناشئة التي تستخدمها جهات التهديد ومجرمو الإنترنت.

كما يوصي الباحثون بتنفيذ حلول EDR، مثل: Kaspersky Endpoint Detection and Response، للكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب. كما يوصون بتنفيذ حل أمني على امتداد الشركة يكون قادرًا على اكتشاف التهديدات المتقدمة عند المستوى الشبكي في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.

ويوصون أيضًا بتقديم تدريب توعوي أمني للموظفين وتعليمهم المهارات العملية، من خلال الحلّ Kaspersky Automated Security Awareness Platform، في ضوء حقيقة أن العديد من الهجمات الموجّهة تبدأ بمحاولات التصيّد أو غيرها من تقنيات الهندسة الاجتماعية.

البوابة العربية للأخبار التقنية كاسبرسكي تكشف بعض حيل مجموعة القرصنة الكورية ScarCruft

from البوابة العربية للأخبار التقنية http://bit.ly/2ED4FDg
via IFTTT