كشف فريق من الباحثين في شركة مايكروسوفت في تقرير أن عصابة من كوريا الشمالية استغلت خللًا غير معروف سابقًا في متصفح كروم لاستهداف المنظمات وسرقة العملات المشفرة الخاصة بها.
وبحسب التقرير المنشور يوم الجمعة، علم باحثو الأمن السيبراني في مايكروسوفت لأول مرة بجنح القراصنة في 19 أغسطس. التقرير أيضًا أن العصابة كانت تابعة لمجموعة Citrine Sleet، المعروفة باستهداف صناعة العملات المشفرة ومقدمي الخدمات المالية بشكل عام.
استغل المتسللون ثغرات في المتصفحات
يأتي هذا في الوقت الذي أصبحت فيه العملات المشفرة هدفًا ساخنًا لمتسللي الحكومة الكورية الشمالية لسنوات، حيث قدر مجلس الأمن التابع للأمم المتحدة أن 3 مليارات دولار من العملات المشفرة قد سُرقت بين عامي 2017 و2023، وفقًا لمقال TechCrunch.
وبحسب باحثي مايكروسوفت، استغلت عصابة القراصنة ثغرة أمنية في محرك أساسي داخل كروميوم، وهو الكود الأساسي لمتصفح كروم وغيره من المتصفحات الشهيرة مثل مايكروسوفت إيدج.
يوضح التقرير أيضًا أنه عندما استغلّ المخترقون ثغرات المتصفحات، كان ذلك ثغرة يوم الصفر، أي أن جوجل، بصفتها الشركة المصنّعة للبرمجيات، لم تكن على علم بالثغرة. ووفقًا لمقال في موقع TechCrunch، لم يكن لدى الفريق أي وقت لإصدار إصلاح قبل استغلال الثغرة.
وأصلحت جوجل الخلل بعد يومين في 21 أغسطس /آب، بحسب تفسيرات الباحثين.
وبحسب موقع TechCrunch ، قال المتحدث باسم جوجل سكوت ويستوفر إن عملاق التكنولوجيا قام بإصلاح الخلل، لكن دون تقديم مزيد من التفاصيل.
كشفت شركة مايكروسوفت أنها أخطرت "العملاء المستهدفين والمخترقين" على الرغم من أنها لم تتمكن من تقديم المزيد من المعلومات حول الهدف المحدد، ولا عدد الأهداف والضحايا الذين استهدفهم هذا "القرصنة".
ورفض المتحدث باسمها كريس ويليامز الكشف عن عدد المنظمات المتضررة من هذا الإهمال الطبي.
عصابة كورية شمالية تستهدف الخدمات المالية
وبحسب الباحثين، فإن مجموعة Citrine Sleet متمركزة في كوريا الشمالية وتستهدف في الغالب مقدمي الخدمات المالية والأفراد الذين يديرون العملات المشفرة لتحقيق الربح، وقد أجرت المجموعة "استطلاعًا مكثفًا لصناعة العملات المشفرة والأفراد المرتبطين بها" كجزء من تقنيات الهندسة الاجتماعية الخاصة بها.
"يقوم الفاعل بالتهديد بإنشاء مواقع ويب مزيفة متخفية في شكل منصات تداول شرعية للعملات المشفرة ويستخدمها لتوزيع طلبات عمل مزيفة أو إغراء الأهداف بتنزيل محفظة عملات مشفرة مسلحة أو تطبيق تداول يعتمد على تطبيقات شرعية"، كما جاء في جزء من التقرير.
"يصيب Citrine Sleet الأهداف في أغلب الأحيان ببرنامج تروجان الخبيث الفريد الذي طورته، AppleJeus، والذي يجمع المعلومات اللازمة للسيطرة على أصول العملات المشفرة الخاصة بالأهداف."
تقرير مايكروسوفت.
أما بالنسبة للقراصنة الكوريين الشماليين، فقد كشف الباحثون أنهم بدأوا بخداع الضحية لزيارة موقع ويب تحت سيطرتهم. ويوضح التقرير أيضًا أنه بفضل ثغرة أخرى في نواة ويندوز، تمكن القراصنة من تثبيت برمجيات خبيثة ذات وصول عميق إلى نظام التشغيل على جهاز الضحية. وتمكن القراصنة من السيطرة الكاملة على بيانات الضحية وجهازه.
وفقًا لموقع TechCrunch، بسبب العقوبات الدولية الصارمة، لجأ النظام في كوريا الشمالية إلى أنشطة تشفير غير مشروعة لتمويل أسلحته النووية.
