وأساءت العصابة الجديدة بمهارة عالية، استغلال ثقة العاملين في الشركات المستهدفة، عبر إرسال منفذ خلفي خاص بالنظام «ويندوز» يعمل بمزايا كاملة بينها المراقبة، وذلك تحت ستار «عقد» أو ملف عمل آخر.
وطورت العصابة موارد واسعة وخطرة، تتضمن بنية تحتية معقدة وعمليات استغلال وغرسات من البرمجيات الخبيثة، بهدف إفراغ محافظ العملات الرقمية الخاصة بالضحايا المستهدفين.
وتعد «بلو نوروف» جزءا من عصابة «لازاروس»، وتستخدم هيكلها المتنوع وتقنياتها المتطورة في شن الهجمات، وتشتهر الأخيرة بشن هجمات على البنوك والخوادم المتصلة بنظام التحويلات المصرفية «سويفت»، وشاركت أيضا في إنشاء شركات وهمية لتطوير برمجيات خاصة بالعملات الرقمية، ليقدِم عملاؤها المخدوعون على تثبيت ما يبدو أنها تطبيقات سليمة، لتصلهم بعد فترة تحديثات برمجية خبيثة عبر المنفذ الخلفي المذكور.
مصادر غير مألوفة
وتتظاهر «بلو نوروف»، التي كشف عنها باحثو «كاسبرسكي»، أنها إحدى شركات الاستثمارات الرأسمالية لكسب ثقة ضحاياها، موضحين أنها استغلت أسماء أكثر من 15 شركة استثمارية، وأسماء موظفين عاملين فيها خلال حملة «سناتش كريبتو».
ويرى الخبراء أيضا أن الشركات التي استُغلت أسماؤها لا علاقة لها بهذا الهجوم أو رسائل البريد الإلكتروني الاحتيالية التي أُرسلت تحت مظلتها، مرجعين اختيار مجرمي الإنترنت المجالات المالية الرقمية إلى أنه من الطبيعي أن تتلقى الشركات الناشئة رسائل أو ملفات من مصادر غير مألوفة، نظرا لحداثة عهدها بالسوق، كأن ترسل شركة استثمارية مثلا، عقدا أو ملفات تجارية أخرى إلى شركة ناشئة ما، وهو ما تستخدمه العصابات طعما لدفع الضحايا إلى فتح الملف المرفق بالبريد الإلكتروني، والذي لا يكون عادة سوى مستند ممكن بماكرو.
ولا يمثل الملف أي خطر إذا فتح في وضع عدم الاتصال بالإنترنت، إذ سيبدو على الأرجح نسخة من عقد أو مستند ما غير ضار.
ولكن إذا كان الحاسب متصلا بالإنترنت وقت فتح الملف، فإن الملف سيجلب ملفا آخر ممكنا بماكرو إلى جهاز الضحية، لتوظيف البرمجية الخبيثة.
ترسانة تخريبيةوتمتلك عصابة التهديدات المتقدمة المستمرة هذه، طرقا مختلفة في ترسانتها التخريبية، وتجمع سلسلة الإصابة اعتمادا على الموقف.
فبجانب مستندات «وورد» المفخخة، توظف العصابة برمجيات خبيثة متخفية بصفة ملفات اختصار مضغوطة خاصة بالنظام «ويندوز».
كذلك ترسل المعلومات العامة للضحية ووكيل واجهة الأوامر النصية «باور شيل»، لإنشاء باب خلفي بمزايا كاملة تستخدمه «بلو نوروف» لتوظيف أدوات خبيثة أخرى لمراقبة الضحية، تتضمن أداة تسجيل الضربات على لوحة المفاتيح وأداة لأخذ لقطات الشاشة.
خطط السرقةويتتبع المهاجمون الضحايا لأسابيع وشهور، يجمعون خلالها الضربات على لوحات المفاتيح ويراقبون العمليات اليومية للمستخدمين، فيما يضعون الخطط لسرقة الأموال.
وبعد العثور على هدف بارز يَستخدم امتداد متصفح شائع لإدارة محافظ العملات الرقمية (مثل الامتداد ميتا ماسك)، تُسارع العصابة إلى وضع إصدار مزيف محل المكون الرئيس للامتداد.
ووفقا للباحثين، يتلقى المهاجمون إشعارا عند اكتشاف محاولة للشروع في عملية تحويل مالية كبيرة للعملات الرقمية، عندما يحاول المستخدم المخترق تحويل بعض الأموال إلى حساب آخر، فإنه يعترض هذه العملية، ويضخ عناصر عمله الخاصة.
ويغير مجرمو الإنترنت عنوان المستلم ويرفعون مبلغ معاملة التحويل في اللحظة التي ينقر فيها المستخدم على زر «أبروف» لإكمال المعاملة، وذلك لاستنزاف الحساب في حركة واحدة.
توصيات مهمةويوصي خبراء كاسبرسكي الشركات باتباع عدد من التدابير لحماية نفسها، في مقدمتها تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي، نظرا لأن العديد من الهجمات الموجهة يبدأ بمحاولات التصيد أو المحاولات القائمة على أساليب الهندسة الاجتماعية، إضافة إلى إجراء تدقيق على الأمن الرقمي للشبكات ومعالجة أي ثغرات مكتشفة في محيط الشبكة أو داخلها، موضحين أنه من الصعب العثور على أداة زرع الامتداد المزيف يدويا، إلا إذا كان المسؤول الأمني معتادا على قاعدة بيانات «ميتا ماسك»، ومع ذلك فإن تعديل امتداد «كروم» يترك أثرا، إذ يجب تحويل المتصفح إلى وضعية المطور «ديفيليبور مود» وتثبيت امتداد «ميتا ماسك» من دليل محلي بدلا من متجر عبر الإنترنت.
كما أوصوا بتثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.
