تستهدف حملة القرصنة العالمية شركات التمويل والدفاع والطاقة

تستهدف عملية قرصنة عالمية الإدارات الحكومية والدفاع والاتصالات وغيرها منظمات عالية التقنية حول العالم فيما يبدو أنه المرحلة الأولى من التجسس الإلكتروني حملة.

أطلق عليها اسم عملية Sharpshooter الباحثون في شركة مكافي، كانت الحملة الجديدة نشطة لمدة أسابيع فقط، ولكنها شملت 87 منظمة في 24 دولة خلال شهري أكتوبر ونوفمبر فقط، بهدف جمع المعلومات الاستخبارية على ما يبدو.

وبينما تم استهداف المنظمات في جميع أنحاء العالم من خلال الحملة، يشير التحليل الذي أجرته شركة McAfee إلى أن الضحايا هم في الغالب في الولايات المتحدة.

كما قامت منظمات في أمريكا الجنوبية وأوروبا والشرق الأوسط والهند وأستراليا واليابان وغيرها وقعوا ضحية الحملة - في معظم الحالات كانوا يتحدثون الإنجليزية أو لديهم منطقة ناطقة باللغة الإنجليزية مكتب.

يبدو أن التركيز الرئيسي للمهاجمين هو الدفاع والإدارات الحكومية ولكن الشركات في كما تم استهداف قطاعات الاتصالات والطاقة والنووية والمالية في عمليات التجسس حملة.

لاحظ الباحثون أن الهجمات تظهر العديد من السمات المميزة مجموعة لازاروس، وهي مجموعة قرصنة تعمل نيابة عن مصالح كوريا الشمالية – لكنها تقول إن هذا وحده لا يكفي لتأكيد الإسناد.

"المؤشرات الفنية المستخدمة فقط لتحديد الإسناد محفوفة بالصعوبة، وبالتالي يتعين علينا أن نأخذ ذلك في الاعتبار وقال راج ساماني، كبير العلماء وزميل شركة McAfee، إن هذا قد يكون هجومًا بأعلام زائفة للإشارة إلى مجموعة لازاروس. زد نت.

بدأت العملية في 25 أكتوبر سلسلة من التصيد رسائل البريد الإلكتروني التي تتنكر في شكل رسائل بريد إلكتروني للتوظيف يتم إرسالها إلى عدد من الأهداف. تشترك جميع مستندات Word الضارة في اسم المؤلف - Richard - وتحتوي على وصف وظيفي لوظائف في شركات مختلفة.

تحتوي المستندات على ماكرو ضار يعمل على الاستفادة من كود القشرة المضمن لإدخال أداة تنزيل البرامج الضارة Sharpshooter في ذاكرة Word. وهذا بمثابة أداة تنزيل للمرحلة الثانية من الحملة: زرع Rising Sun.

يرى: هل يمكن إيقاف المتسللين الروس؟ لهذا السبب قد يستغرق الأمر 20 عامًا (قصة غلاف TechRepublic) | تحميل نسخة PDF

Rising Sun عبارة عن باب خلفي معياري يقوم بالاستطلاع على شبكة الضحية، مما يوفر للمهاجمين إمكانية الوصول إلى مستوى الجهاز المعلومات بما في ذلك المستندات وأسماء المستخدمين وتكوين الشبكة وإعدادات النظام، والتي يتم إرسال المعلومات المتعلقة بها إلى الأمر والتحكم الخادم.

يمكن للبرامج الضارة أيضًا تنفيذ أوامر مختلفة والحصول على ملفات إضافية وتكون قادرة على مسح الذاكرة وحذف النشاط.

وقال السماني: "إن عملية Sharpshooter هي مثال آخر على الهجوم المتطور والمستهدف الذي يستخدم للحصول على معلومات استخباراتية عن الجهات الفاعلة الخبيثة".

"ومع ذلك، وعلى الرغم من تعقيدها، فإن هذه الحملة تعتمد على درجة معينة من الهندسة الاجتماعية التي يمكن تخفيفها بسهولة، مع اليقظة والتواصل من جانب الشركات".

يشير تحليل Rising Sun إلى أنها تشارك التعليمات البرمجية وبيانات التكوين مع Duuzer، وهي عائلة من برامج طروادة الضارة المستخدمة في اختراق شركة Sony - وهو الحادث الذي تحمل الولايات المتحدة كوريا الشمالية المسؤولية عنه.

ومع ذلك، فإن مخطط فك تشفير Rising Sun مختلف، مما يشير إلى أنه من المحتمل أن يكون تطورًا لـ Duuzer. إذا كان الأمر كذلك، فلن يكون هذا هو المثال الأول لقراصنة كوريا الشمالية الذين يعيدون استخدام التعليمات البرمجية القديمة لبناء هجمات جديدة. كما أشار McAfee سابقًا.

وأيًا كان من يقف وراء عملية Sharpshooter، فمن غير المرجح أن تكون هذه هي نهاية الحملة. "بغض النظر عن الحل الأمني ​​المستخدم، يجب على المؤسسات تحديث أنظمتها. وقال ساماني، بالمثل، قد ترغب المنظمات في تشغيل IoCs في بيئاتها.

اقرأ المزيد الأمن السيبراني

• الأمن السيبراني: يخرج المتسللون من الظل بهجمات أكبر وأكثر جرأة
• وزارة العدل تتهم كوريا الشمالية بشأن فيروس WannaCry واختراق شركة Sony سي نت
• توقعات الحرب السيبرانية لعام 2019: لقد أثيرت المخاطر
• يصدر مكتب التحقيقات الفيدرالي (FBI) ووزارة الأمن الوطني (FBI) تنبيهات جديدة حول البرامج الضارة القادمة من كوريا الشمالية TechRepublic
• تنبيه بشأن التصيد الاحتيالي: تظهر هجمات القرصنة في كوريا الشمالية أن بريدك الإلكتروني لا يزال هو الحلقة الأضعف