باحثون يحصلون على خادم تابع لمجموعة قرصنة كورية شمالية

قام مسؤولون حكوميون، في خطوة نادرة، بتسليم باحثين أمنيين خادمًا تم الاستحواذ عليه جرى استخدامه من قبل مجموعة قرصنة كورية شمالية لإطلاق العشرات من هجمات التجسس السيبرانية واسعة النطاق في العام الماضي.

وقد استخدم الخادم، المعروف باسم Operation Sharpshooter، في حملة ضارة واسعة النطاق تم الكشف عنها لأول مرة في شهر ديسمبر/كانون الأول، والتي استهدفت بدورها الحكومات وشركات الاتصالات والمقاولين في مجال الدفاع.

وأرسل المخترقون مستند وورد Word ضار عبر البريد الإلكتروني، والذي يعمد عند فتحه إلى تشغيل تعليمات برمجية لتنزيل ملفات مرتبطة بالمرحلة الثانية من عملية الاختراق، يطلق عليها Rising Sun، والتي استخدمها المتسللون لإجراء عمليات استطلاع وسرقة بيانات المستخدم.

وكانت مجموعة لازاروس Lazarus، وهي مجموعة قرصنة مرتبطة بكوريا الشمالية، المشتبه الرئيسي، وذلك تبعًا لوجود تعليمات برمجية استخدمت سابقًا من قبل نفس المجموعة في عمليات اختراق وتجسس أخرى، لكن لم يتم تأكيد الرابط.

وأوضحت شركة مكافي McAfee الآن أنها واثقة من الرابط، وقال كريستيان بيك Christiaan Beek، كبير الباحثين والمهندسين في شركة مكافي: “في ظل وجود وصول إلى خادم القيادة والتحكم الخاص بالخصم، تمكنا من الكشف عن معلومات قيمة تؤدي إلى مزيد من الأدلة للتحقيق فيها”.

وتأتي هذه الخطوة كجزء من محاولة الحصول على فهم أفضل للتهديدات الصادرة عن دول قومية، والتي تم إلقاء اللوم عليها في السنوات الأخيرة في اختراق شركة سوني في عام 2016 وهجمات طلب الفدية WannaCry في عام 2017، بالإضافة إلى هجمات على الشركات العالمية.

وكشفت دراسة التعليمات البرمجية الخاصة بخادم Operation Sharpshooter أنه كان يعمل لفترة أطول مما كان يعتقد في البداية، وأنه استهدف مجموعة واسعة من الصناعات والبلدان، بما في ذلك الكيانات المالية والحكومية والبنية التحتية الحيوية في جميع أنحاء العالم.

وكانت معظم الأهداف موجودة في الولايات المتحدة والمملكة المتحدة وألمانيا وتركيا، كما كان هناك أيضًا أدلة على قيامهم بتنفيذ بعض الهجمات في أفريقيا.

وأظهر البحث أن الخادم، الذي يعمل كبنية تحتية للتحكم والسيطرة بالبرامج الضارة، وتم كتابته بلغة PHP و ASP، استخدم لبناء مواقع الويب والتطبيقات المستندة إلى الويب، مما يجعله سهل النشر وقابلاً للتوسع بدرجة كبيرة.

وقال التقرير: “حتى الآن، لم يكن هناك دليل تقني كاف لقيام فريق البحث عن التهديدات بإسناد الهجمات إلى Lazarus بثقة، ولكن بسبب الوصول غير المعتاد، كان لدى مكافي البيانات الموجودة على خادم التحكم الذي يستخدمه الخصم، ومستويات الثقة الآن أعلى بكثير”.

ويحتوي الخادم على العديد من المكونات المستخدمة لشن الهجمات على الأهداف، بحيث لكل مكون دور محدد، ويقول الباحثون إن المتسللين يستخدمون أسلوب معياري من البرامج الضارة التي تم تجميع مكوناتها المختلفة معًا على مدار عدة سنوات.

كما وجد الباحثون أيضًا باب خلفي يستخدم لاستهداف أجهزة الحاسب الكورية الجنوبية منذ عام 2015، وكذلك جزء من نفس عائلة البرامج الضارة المستخدمة في اختراق شركة سوني، والتي تنسب أيضًا إلى كوريا الشمالية.

وأوضح باحثو مكافي أن هذه المجموعة تمكنت من اختراق المنظمات الكبرى باستخدام هجمات غير متطورة، حيث كانت الرسائل الإلكترونية المحتوية على البرمجيات الخبيثة الهادفة للوصول إلى الأنظمة مقنعة للغاية.