كاسبرسكي تكشف بعض حيل مجموعة القرصنة الكورية ScarCruft

اكتشف باحثون لدى شركة كاسبرسكي لاب؛ يراقبون نشاط المجموعة التخريبية ذات المهارة العالية ScarCruft، الناطقة باللغة الكورية، أنها تطور أدوات وتقنيات جديدة وتختبرها.

كما اكتشف باحثو الشركة الروسية – الرائدة في مجال أمن المعلومات – أن المجموعة توسّع نطاق المعلومات التي تُجمع من الضحايا، وتزيد من حجم تلك المعلومات. ووجدوا كذلك أن من بين الأشياء الأخرى التي تقوم بها المجموعة التخريبية: إنشاء شيفرة برمجية قادرة على تحديد الأجهزة المتصلة عبر تقنية البلوتوث.

ويُعتقد أن التهديد المتقدم المستمر، الذي تمثله ScarCruft يجري برعاية حكومية، إذ عادةً ما تستهدف كيانات حكومية، وشركات لها علاقات بشبه الجزيرة الكورية، بحثًا – فيما يبدو – عن معلومات ذات أهمية سياسية. وثمّة دلائل لاحظتها كاسبرسكي لاب على أن المجموعة التخريبية تطوّر وتختبر أدوات خبيثة جديدة، وأن لديها اهتمامًا متزايدًا في الحصول على البيانات من الأجهزة المحمولة؛ مُظهرةً قدرتها على تكييف الأدوات والخدمات الشرعية، واستخدامها لصالح عمليات التجسس الإلكتروني، التي تُجريها.

وأشار باحثو كاسبرسكي لاب إلى أن هجمات المجموعة – مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة – تبدأ إما عن طريق التصيّد الموجّه، أو الاختراق الإستراتيجي لمواقع الويب، والذي يُعرف أيضًا باسم هجمات “كمائن بِرك الشرب” Watering-Hole باستغلال ثغرات، أو باللجوء إلى حيل أخرى؛ لإصابة زوار محددين لبعض مواقع الويب، التي يتمّ اختراقها، ونصب الكمين فيها.

ويُنفَّذ هذا الأمر، في حالة ScarCruft، عبر مراحل؛ أولها: إصابة تتيح تجاوز التحكّم في حساب مستخدم النظام “ويندوز” Windows، للتمكّن من تنفيذ الخطوة التالية بإنزال الحمولة الخبيثة، عبر امتيازات أعلى، وباستخدام شيفرة برمجية عادةً ما توظفها الشركات توظيفًا شرعيًا لاختبار قدرة الجهات التخريبية على اختراق أنظمتها التقنية. وتستخدم البرمجية الخبيثة أسلوب “ستيغانوغرافي”، أو مواراة المعلومات وإخفائها؛ من أجل تجنب الانكشاف عند المستوى الشبكي، مُخفية الشيفرة الخبيثة داخل ملف صورة.

وتتمثل المرحلة الأخيرة من الهجوم بتثبيت منفذ خلفي قائم على الخدمة السحابية يُعرف باسم ROKRAT. ويجمع هذا المنفذ الخلفي مجموعة كبيرة من المعلومات من الأنظمة والأجهزة التي وقعت ضحية للهجوم، ويمكنه إعادة توجيهها إلى أربع خدمات سحابية، هي: “بوكس” Box، و”دروب بوكس” Dropbox، و”بي كلاود” pCloud، و”ياندسك.ديسك” Yandex.Disk.

وكشف باحثو كاسبرسكي لاب عن اهتمام المجموعة بسرقة البيانات من الأجهزة المحمولة، فضلًا عن برمجيات خبيثة تأخذ صورًا لبصمات الأصابع من أجهزة البلوتوث باستخدام واجهة برمجة التطبيقات الخاصة ببلوتوث في النظام “ويندوز” Windows Bluetooth API.

ووُجد – استنادًا إلى بيانات القياس عن بُعد – أنه كان من ضحايا هذه الحملة شركات استثمارية وتجارية في فيتنام وروسيا، قد تكون على علاقة بكوريا الشمالية، فضلًا عن كيانات دبلوماسية في هونغ كونغ وكوريا الشمالية. ووُجد كذلك أن ضحية في روسيا أُصيبت بهجوم ScarCruft، كان قد سبق لها أن أصيبت بهجوم شنته مجموعة DarkHotel الناطقة بالكورية.

وقال (سيونغسو بارك) أحد كبار الباحثين الأمنيين في فريق الأبحاث والتحليلات العالمي التابع لكاسبرسكي لاب: إن هذه ليست المرة الأولى التي يُشاهد فيها تداخل بين ScarCruft، وDarkHotel، مشيرًا إلى وجود “اهتمامات متشابهة” بالأهداف لدى المجموعتين، بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما.

وقال بارك: “يقودنا هذا الأمر إلى الاعتقاد بأن إحدى المجموعتين تتربص بضحاياها بانتظام في ظل المجموعة الأخرى، ومع أن ScarCruft تتسم بالحذر، ولا ترغب في الظهور، فقد أثبتت أنها مجموعة تتمتع بمهارات عالية، ونشاط كبير، مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها، ونعتقد بأنها سوف تواصل التقدّم”.

وتقول كاسبرسكي لاب: إن جميع منتجاتها قادرة على اكتشاف ومنع هذا التهديد. ومن أجل تجنب الوقوع ضحية لهجوم موجه تشنه جهة تهديد معروفة أو مجهولة، يوصي باحثون الشركةَ بتزويد فريق مركز العمليات الأمنية التابع للشركة بالقدرة على الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، لمواكبة الأدوات والتقنيات والأساليب الجديدة والناشئة، التي تستخدمها جهات التهديد، ومجرمو الإنترنت.

كما يوصي الباحثون بتنفيذ حلول EDR، مثل: Kaspersky Endpoint Detection and Response، للكشف عن التهديدات عند مستوى النقاط الطرفية، والتحقيق فيها، ومعالجتها في الوقت المناسب. كما يوصون بتنفيذ حل أمني على امتداد الشركة، يكون قادرًا على اكتشاف التهديدات المتقدمة عند المستوى الشبكي في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.

ويوصون أيضًا بتقديم تدريب توعوي أمني للموظفين، وتعليمهم المهارات العملية، من خلال الحلّ Kaspersky Automated Security Awareness Platform، في ضوء حقيقة أن العديد من الهجمات الموجّهة تبدأ بمحاولات التصيّد، أو غيرها من تقنيات الهندسة الاجتماعية.