كشف فريق من باحثي مايكروسوفت في تقرير أن عصابة كورية شمالية استغلت ثغرة لم تكن معروفة من قبل في متصفح كروم لاستهداف المؤسسات وسرقة عملاتها المشفرة.
ووفقا للتقرير الذي نشر يوم الجمعة، أصبح باحثو الأمن السيبراني في مايكروسوفت على علم بجرائم المتسللين لأول مرة في 19 أغسطس. ويزعم التقرير أيضًا أن العصابة كانت تابعة لشركة Citrine Sleet، المعروفة باستهداف صناعة العملات المشفرة ومقدمي الخدمات المالية بشكل عام.
استغل المتسللون عيوب المتصفح
يأتي هذا في الوقت الذي أصبحت فيه العملات المشفرة هدفًا ساخنًا لقراصنة حكومة كوريا الشمالية لسنوات، حيث يقدر مجلس الأمن التابع للأمم المتحدة أنه تمت سرقة 3 مليارات دولار من العملات المشفرة بين عامي 2017 و2023، وفقًا لمقالة نشرتها TechCrunch.
وفقًا لباحثي مايكروسوفت، استفادت مجموعة القرصنة من ثغرة أمنية في المحرك الأساسي لمتصفح Chromium، وهو الكود الأساسي لمتصفح Chrome والمتصفحات الشهيرة الأخرى مثل Microsoft Edge.
ويوضح التقرير أيضًا أنه عندما استغل المتسللون عيوب المتصفح، كان ذلك بمثابة يوم الصفر، مما يعني أن جوجل، باعتبارها الشركة المصنعة للبرنامج، لم تكن على علم بالخطأ. وفقًا لمقالة TechCrunch، لم يكن لدى الفريق الوقت الكافي لنشر الإصلاح قبل استغلال الخطأ.
أصلحت جوجل الخلل بعد يومين، في 21 أغسطس، وفقًا لتفسيرات الباحثين.
وفقًا لموقع TechCrunch ، قال المتحدث باسم Google، سكوت ويستوفر، إن عملاق التكنولوجيا أصلح الخلل، ولكن دون تقديم مزيد من التفاصيل.
وكشفت مايكروسوفت، أيها الزملاء، أنها أخطرت "العملاء المستهدفين والمخترقين" على الرغم من أنها لم تتمكن من تقديم مزيد من المعلومات حول مجموعة الأهداف، ولا عدد الأهداف والضحايا الذين استهدفتهم "موجة القرصنة" هذه.
ورفض المتحدث باسمها كريس ويليامز الكشف عن عدد المنظمات المتضررة من هذه الممارسة غير المشروعة.
عصابة كورية شمالية تستهدف الخدمات المالية
وفقًا للباحثين، يقع مقر Citrine Sleet في كوريا الشمالية ويستهدف في المقام الأول مقدمي الخدمات المالية والأفراد الذين يديرون العملات المشفرة لتحقيق الربح، وقد أجرت المجموعة "استطلاعًا واسع النطاق لصناعة العملات المشفرة والأفراد المرتبطين بها" كجزء من تقنيات الهندسة الاجتماعية الخاصة به.
وجاء في جزء من التقرير: "يقوم ممثل التهديد بإنشاء مواقع ويب مزيفة تتنكر في شكل منصات شرعية لتبادل العملات المشفرة ويستخدمها لتوزيع تطبيقات وظائف مزيفة أو خداع الأهداف لتنزيل محفظة عملات مشفرة مسلحة أو تطبيق تداول يعتمد على تطبيقات مشروعة".
"يصيب Citrine Sleet الأهداف في أغلب الأحيان ببرامج طروادة الضارة المطورة بشكل فريد، AppleJeus، والتي تحصد المعلومات اللازمة للسيطرة على أصول العملة المشفرة للأهداف."
تقرير مايكروسوفت.
أما بالنسبة للقراصنة الكوريين الشماليين، فقد كشف الباحثون أنهم بدأوا بخداع الضحية لزيارة نطاق ويب تحت سيطرتهم. ويوضح التقرير أيضًا أنه بسبب ثغرة أمنية أخرى في Windows kernel، تمكن المتسللون من تثبيت برامج ضارة ذات وصول عميق إلى نظام التشغيل على جهاز الضحية. تمكن المتسللون من السيطرة بشكل كامل على بيانات الضحية وجهازه.
وفقًا لموقع TechCrunch، بسبب العقوبات الدولية الصارمة، تحول النظام الكوري الشمالي إلى الأنشطة غير المشروعة المتعلقة بالعملات المشفرة لتمويل أسلحته النووية.