استهدفت قطاعات الدفاع والفضاء الأمريكية في موجة جديدة من الهجمات الكورية الشمالية

بينما كان العالم في خضم جائحة كوفيد-19، كان المتسللون الكوريون الشماليون يستهدفون قطاعي الدفاع والفضاء في الولايات المتحدة عروض عمل وهمية على أمل إصابة الموظفين الذين يبحثون عن فرص أفضل والحصول على موطئ قدم في مؤسساتهم الشبكات.

وقالت شركة الأمن السيبراني McAfee في تقرير نُشر اليوم إن الهجمات بدأت في أواخر مارس واستمرت طوال شهر مايو 2020.

يتم تتبعها تحت الاسم الرمزي "عملية نجم الشمال"وقال McAfee إن هذه الهجمات تم ربطها بالبنية التحتية و TTPs (التقنيات والتكتيكات والإجراءات) المرتبطة سابقًا بـ الكوبرا المخفية - مصطلح شامل تستخدمه الحكومة الأمريكية لوصف جميع مجموعات القرصنة التي ترعاها الدولة في كوريا الشمالية.

خدعة عرض العمل الوهمي الجيد

أما بالنسبة للهجمات نفسها، فقالت شركة McAfee إنها كانت عبارة عن رسائل بريد إلكتروني تصيدية عادية تغري المستلمين بفتح مستندات مفخخة تحتوي على عرض عمل محتمل.

وقد استفادت العديد من مجموعات القرصنة من هذا الإغراء في الماضي، كما استخدمه المتسللون الكوريون الشماليون من قبل في هجمات ضد الدفاع الأمريكي. القطاع في الحملات التي جرت في عامي 2017 و2019، كما قال كريستيان بيك، كبير العلماء وكبير المهندسين الرئيسيين، لـ ZDNet في مقابلة مع ZDNet بريد إلكتروني.

في الواقع، تم الاستشهاد بهجمات عام 2017 في لائحة اتهام أمريكية ضد هاكر كوري شمالي ويُعتقد أنهم شاركوا في الهجمات، ولكن أيضًا في إنشاء برنامج الفدية WannaCry.

لكن هجمات 2020 كانت لها أيضًا أشكال مختلفة - وهي البرامج الضارة التي قدمتها وحقيقة أنه تم الاتصال ببعض الضحايا أيضًا عبر الشبكات الاجتماعية، وليس بالضرورة عبر البريد الإلكتروني.

يتم تفصيل سلسلة العدوى بأكملها، بدءًا من الاتصال وحتى كيفية عمل البرامج الضارة، بشكل ملخص في الرسم أدناه، وفي التفاصيل الفنية الكاملة في تقرير مكافي.

ومع ذلك، لا تزال هناك أسئلة حول مدى فعالية هذه الحملة. مع انخفاض حركة القوى العاملة إلى أدنى مستوياتها على الإطلاق خلال جائحة فيروس كورونا، فمن غير الواضح مدى نجاح المتسللين الكوريين الشماليين من خلال توظيف موضوع "وظيفة جديدة" لجذب الضحايا.

لسوء الحظ، قالت شركة McAfee إنها لم تتمكن من الوصول إلى البريد الإلكتروني نفسه، حيث تم استخدام هذه الإغراءات، ولم تتمكن إلا من استعادة المستندات المفخخة وحمولات البرامج الضارة.

ونتيجة لذلك، لم تتمكن McAfee من التحديد الدقيق لشركات الدفاع أو الطيران الأمريكية التي كانت أهدافًا لهذه الهجمات ومن ثم إخطار كل منها.

الأشياء الوحيدة التي يمكنهم تحديدها هي طبيعة الوظائف المزيفة (مهندس تصميم كبير ومهندس نظام) وكان قراصنة برامج الدفاع الأمريكية يحاولون "تجنيدهم" من أجل:

• برنامج الطائرات المقاتلة F-22
• الدفاع والفضاء والأمن (DSS)
• الخلايا الكهروضوئية للخلايا الشمسية الفضائية
• مجموعة الطيران المقاتلة المتكاملة
• برامج تحديث الطائرات العسكرية

صرح راج ساماني، كبير العلماء في شركة McAfee، لـ ZDNet أمس أنهم تواصلوا مع وكالات الأمن السيبراني الأمريكية لإخطارهم السلطات المسؤولة عن الهجمات الماضية كجزء من إجراءاتها العادية لمنع الاشتباك عندما تكتشف حملات كهذه تلك.

وركزت الهجمات على جمع المعلومات الاستخبارية

وكان الهدف من هذه الهجمات واضحًا أيضًا، حيث كانت حملة "نورث ستار" جزءًا من جهود التجسس الإلكتروني وجمع المعلومات الاستخبارية التي تبذلها كوريا الشمالية.

ومع تعرض البلاد لعقوبات اقتصادية شديدة وافتقارها إلى مجمع صناعي عسكري مكتفي ذاتيا، لا يمكنها سوى دعم أسلحتها النووية. برنامجها وطموحاتها عن طريق استيراد أو سرقة المعلومات التي تحتاجها - والتي في هذه الحالة، كانت تأمل في الحصول عليها من الدفاع والفضاء الأمريكي المقاولون.

ومع ذلك، هناك طريقة أخرى تحافظ من خلالها كوريا الشمالية على برنامجها النووي وهي السماح لقراصنةها بالانخراط في جرائم إلكترونية عادية وغسل الأموال وإعادتها إلى المملكة المنعزلة. وفي أخبار مماثلة هذا الأسبوع، نشرت شركة الأمن كاسبيرسكي بحثًا يوم الثلاثاء يربط قراصنة كوريا الشمالية بسلالة جديدة من برامج الفدية تسمى VHD.

وقبل ذلك، كانت المجموعة أيضًا مرتبطة بجميع أنواع الجرائم الإلكترونية، مثل عمليات BEC, هجمات ماجيكارتسرقة البنوك السيبرانية, الاختراقات وعمليات الاحتيال المتعلقة بالعملات المشفرةوالسحب النقدي من أجهزة الصراف الآلي وشبكات الروبوتات لتعدين العملات المشفرة.

على الرغم من كونها دولة صغيرة ومحاطة بأسوار، فقد قامت كوريا الشمالية ببناء واحد من أقوى جيوش القراصنة وأكثرها تقدمًا حتى الآن، ويثبت تنوع عملياتها هذه النقطة.