كشف تقرير حديث ركز على «ديث نوت» الوحدة التابعة لمجموعة «لازاروس» السيبرانية الإجرامية سيئة السمعة، عن تحول أدائها بشكل كبير خلال الأربع سنوات الماضية لشن هجمات على قطاع الدفاع للعملات المشفرة.
وأوضح التقرير، أن المجموعة بدأت بشن هجمات على الشركات المرتبطة بالعملات المشفرة في جميع أنحاء العالم في عام 2019، وفي نهاية 2022، كانت مسؤولة عن الحملات التي استهدفت شركات تكنولوجيا المعلوماتية وشركات أخرى عاملة في قطاع الدفاع على مستوى أوروبا وأمريكا اللاتينية وكوريا الجنوبية وإفريقيا.
برنامج ضار متغير
وكشف أحدث تقرير صادر عن كاسبرسكي التحول في أهداف المجموعة، إضافة إلى تطوير وصقل أدواتها وطُرقها وإجراءاتها خلال السنوات الأربع الماضية.
واستهدفت مجموعة «لازاروس» الأعمال المرتبطة بالعملات المشفرة باستمرار لفترة طويلة،وفي أثناء مراقبة ورصد أنشطتها، و لاحظت كاسبرسكي أن المجموعة ذاتها استخدمت برنامجاً ضاراً متغيراً بشكل كبير في حالة واحدة.
وفي منتصف أكتوبر من العام 2019، عثر خبراء كاسبرسكي على مستند مشبوه تم تحميله على موقع VirusTotal. واستخدم مطورو البرنامج الضار مستندات خادعة تتعلق بأعمال العملات المشفرة، وتتضمن استبياناً حول شراء إحدى العملات المشفرة، ومقدمة عن عملة معينة، ومقدمة أخرى عن تعدين عملة البيتكوين.
حقن القالب عن بُعد
وكانت هذه المرة الأولى التي تظهر فيها حملة DeathNote لاستهداف أفراد وشركات ممن يعملون في العملات المشفرة في قبرص والولايات المتحدة وتايوان وهونج كونج.
وفي أبريل 2020، رصدت كاسبرسكي تحولاً كبيراً في الأدوات والبرامج الخبيثة الخاصة بوحدة «ديث نوت»، حيث تبيّن من خلال الأبحاث أنها كانت تستخدم في الهجمات الموجهة ضد شركات السيارات والمؤسسات الأكاديمية في أوروبا الشرقية المرتبطة بقطاع الدفاع.
وقامت المجموعة المسؤولة عن التهديد بتحويل جميع المستندات الخادعة المتعلقة بالتوصيف الوظيفي من مقاولي الدفاع والمستندات المتعلقة بالدبلوماسية.
كما عمدت إلى تطوير السلسلة الخبيثة الخاصة بها باستخدام ما يطلق عليه «طريقة حقن القالب عن بُعد» في مستنداتها المُستخدمة في الهجمات، وتوظيف أحد برامج التروجانات كملفات PDF مفتوحة المصدر.
آلية جديدة لإصابة الأهداف
وتؤدي طريقتا الإصابة إلى نفس البرنامج الخبيث لتنزيل وحدة DeathNote، المسئولة عن تحميل المعلومات الخاصة بالضحية.
ولاحظت معدو التقرير في مايو 2021 أن شركة أوروبية متخصصة في مجال تكنولوجيا المعلومات، تعمل في مجال توفير حلول مراقبة أجهزة الشبكة والخادم، قد تعرضت للاختراق من قبل وحدة «ديث نوت».
وفي أوائل يونيو 2021، بدأت الوحدة ذاتها التابعة لمجموعة «لازاروس» باستخدام آلية جديدة لإصابة الأهداف في كوريا الجنوبية.
وكان اللافت لانتباه الباحثين أن المرحلة الأولى من البرنامج الخبيث تم تنفيذه بواسطة برنامج شرعي يستخدم على نطاق واسع للأمن في كوريا الجنوبية.
هجمات على مقاولي الدفاع
وفي أثناء مراقبتهم لوحدة «ديث نوت» خلال العام 2022، اكتشف باحثو كاسبرسكي أن المجموعة كانت مسؤولة عن هجمات على عدد من مقاولي الدفاع في أمريكا اللاتينية.
وكانت الأدوات والبرامج الخبيثة مشابهة لتلك التي تم توظيفها لإصابة أهداف بقطاع الدفاعالأخرى، بما في ذلك استخدام برنامج التروجانات لقراءة الملفات بنسق PDF مع ملف بنفس النسق تم إعداده خصيصاً لهذه الغاية، لكن في هذه الحالة بالذات، اعتمد المهاجمون على طريقة التحميل الجانبي لإيصال الحمولة النهائية.
وفي إحدى الحملات المستمرة التي رصدت لأول مرة في يوليو 2022، اكتشف الباحثون أن مجموعة «لازاروس» تمكنت من اختراق عدد من مقاولي بقطاع الدفاع بنجاح في إفريقيا.
وتمثلت الإصابة الأولية باستخدام تطبيق مشبوه بنسق PDF تم إرساله عبر «سكايب مسنجر». عند تشغيل قارئ PDF، قام بإنشاء ملف شرعي (CameraSettingsUIHost.exe) وملف خبيث باسم (DUI70.dll) في نفس الدليل.
توظيف البرامج الشرعية
وقال سيونجسو بارك، كبير باحثي الأمن في فريق البحث والتحليل العالمي GReAT في كاسبرسكي: لقد أصبحت مجموعة «لازاروس» خطيرة جداً من خلال المهارات العالية التي تتمتع بها.
ويكشف التحليل الذي أجريناه على وحدة «ديث نوت» التابعة لها عن تحقيقها تطوراً سريعاً في الطرق والتقنيات والإجراءات التي تتبعها على مر السنين.
وفي هذه الحملة بالذات، لم يقتصر نشاط المجموعة على الأعمال المرتبطة بالعملات المشفرة، ولكنها ذهبت إلى ما هو أبعد من ذلك بكثير، حيث تقوم بتوظيف البرامج الشرعية والملفات الخبيثةعلى حد سواء لمهاجمة المؤسسات الدفاعية.
وعلى ضوء مواصلتها العمل لتحسين طرقها في هجماتها الإجرامية، يكون لزاماً على الشركات التصرف بأعلى مستويات اليقظة،واتخاذ الإجراءات الاستباقية حتى تتمكن من التصدي لأنشطتها الخبيثة.
