صراعات
وظيفة الأحلام.. كيف ينسخ قراصنة إيران أساليب كوريا الشمالية؟
.
وظيفة الأحلام، هي ما يريده الجميع برواتب مغرية ومميزات خاصة، لكن احذر، فبعضها هو فخ بدأه قراصنة كوريا الشمالية وتبعهم الإيرانيون للحصول على معلومات تتعلق بالفضاء والطيران والدفاع.
بدأت مجموعة لازاروس الكورية الشمالية الفكرة عام ٢٠٢٠، وكررتها "القطة الفاتنة" الإيرانية في سبتمبر ٢٠٢٣ في حملة استمرت شهور عدة باستخدام برمجيات خبيثة تصل عبر ملف يشبه ذلك الذي استخدمه قراصنة كيم جونغ أون ليثار التساؤل إن كانت طهران قد استولت على التقنية أم أنها حصلت عليها بصورة مباشرة من بيونغ يانغ..
فما هي حملة "وظيفة الأحلام"؟
اعرف أكثر
منذ سبتمبر ٢٠٢٣، بدأت مجموعة TA455 التابعة لمجموعة Charming Kitten حملة "وظيفة الأحلام" لاستهداف صناعة الطيران والفضاء في إسرائيل وبعض دول الشرق الأوسط إضافة إلى تركيا والهند وألبانيا، من خلال عرض وظائف وهمية.
تستخدم مجموعة TA455 مواقع توظيف وهمية وملفات تعريف على لينكدإن لتوزيع ملف مضغوط يحوي برمجيات خبيثة، من خلال إقناع الضحايا بتحميل ملف PDF مفصل حول كيفية الوصول "بأمان" إلى موقع عمل وهمي يحمل اسم Careers2find من أجل منعهم من ارتكاب "أخطاء" قد "تمنع العدوى".
ومنها يحمل الضحية الملف ويضغط على ملف التثبيت لتبدأ البرمجيات الخبيثة من نوعية SnailResin بالعمل بحسب ما كشف تقرير شركة ClearSky للأمن السيبراني الإسرائيلية.
وSnailResin يحمل نوع من Trojan أو طراودة SlugResin تمنح المهاجمين القدرة على الوصول للجهاز المخترق ومنها تستطيع، بحسب مايكروسوفت، الآتي:
- تحميل برمجيات خبيثة إضافية.
- سرقة بيانات الاعتماد.
- تصعيد الصلاحيات.
- التحرك إلى أجهزة أخرى على الشبكة.
وتشير مايكروسوفت إلى أن SnailResin خطوة أولى في سلسلة من الهجمات التي تهدف إلى اختراق الأنظمة بشكل أعمق، حيث يُمكن أن تؤدي إلى تعرض الأنظمة لمجموعة من الهجمات المعقدة التي تشمل تحصيل بيانات حساسة، رفع الصلاحيات لتنفيذ أوامر على مستوى النظام، والتوسع في الشبكة لاختراق المزيد من الأجهزة.
اكتشفت بعض شركات البحث السيبراني أن ملفات البرمجيات الخبيثة التي استخدمت في هذه الاستهدافات تعود إلى مجموعة Kimsuky أو Lazarus التابعة لكوريا الشمالية، وهو ما يشير إلى إما انتحال Charming Kitten الإيرانية شخصية Lazarus لإخفاء أنشطتها، أو أن كوريا الشمالية قد شاركت طرق الهجوم والأدوات مع إيران، بحسب Clearsky.
ويؤدي هذا إلى تضليل المحققين، لتصل نتيجة بحثهم إلى أن برنامج TA455 الخبيث هو برنامج يتبع مجموعة Kimsuky الكورية الشمالية.
وكان قراصنة كوريا الشمالية سباقين في خدعة مواقع التوظيف، إذ كشف عن حملة مشابهة لذلك عام ٢٠٢٠ استهدفت عشرات الشركات الدفاعية والحكومية في إسرائيل وعالميا عبر استهداف موظفين محددين بعروض وظائف مغرية للغاية، أبرزها شركات بوينغ، ماكدونيل دوغلاس، وبي إيه إي.، بحسب موقع Security week وClear Sky.
وتشير وكالة الدفاع السيبراني الأميركية إلى أن كوريا الشمالية استخدمت برمجية خبيثة تسمى BLINDINGCAN في هذه الهجمات، من بين برمجيات أخرى استخدمتها مجموعة لازاروس الكورية الشمالية المعروفة أيضا باسم Hidden Cobra.
وأعلنت وزارة الدفاع الإسرائيلية في أغسطس من عام ٢٠٢٠ إحباط هجوم إلكتروني دبرته مجموعة أجنبية تستهدف الصناعات العسكرية الاستراتيجية التي تصدر سنويا مليارات، نفذته مجموعة لازاروس تدعمها قوة أجنبية بحسب بيان نقلته حينها فرانس برس.
يختصر معهد الأمن القومي الكوري الجنوبي المجموعات التابعة لكوريا الشمالية كالآتي:
أولا: مجموعة لازاروس
- منظمة تابعة لمكتب الاستطلاع العام، وشكلت في أوائل عام 2007، ومن المقدر أنها نفس منظمة ATP 38.
- في الفترة من 2009 إلى 2014، ركزت هجماتها على كوريا والولايات المتحدة.
- استهدفت بورصات العملات المشفرة، والبنوك، وشركات الإعلام، وشركات الترفيه، والصناعة الميدانية والدفاعية.
- هاجمت شركة Sony Pictures في عام 2014، ويُشتبه في وقوفها وراء هجوم برنامج الفدية WannaCry في عام 2017.
ثانيا: مجموعة (Kimsuky)
- منظمة تابعة لمكتب الاستطلاع العام ويعتقد أنها كانت نشطة منذ عام 2010.
- مسؤولة عن جمع المعلومات الاستخبارية العالمية.
- يستخرج المعلومات المطلوبة من الضحايا باستخدام تكتيكات الهندسة الاجتماعية الشائعة، والتصيد الاحتيالي.
- استهدفت خبراء من الأفراد المتخصصين ومراكز الأبحاث والمنظمات الحكومية في كوريا الجنوبية والولايات المتحدة واليابان (فيما يتعلق بشبه الجزيرة الكورية والسياسة النووية، والسياسة الخارجية المتعلقة بالعقوبات، وقضايا الأمن القومي)، والمنشقين الكوريين الشماليين.
- اخترقت الحكومة البولندية في عام 2020، ومستشفى جامعة سيول الوطنية في يونيو 2021، ومعهد أبحاث الطاقة الذرية الكوري في العام نفسه.
ثالثا: مجموعة (BlueNorOff)
- منظمة تابعة للمكتب 121 من مكتب الاستطلاع العام ومن المعروف أنها تضم نحو 1700 عضو.
- اكتشف أول نشاط لها في أوائل عام 2014.
- تهاجم الأماكن التي يمكن من خلالها الحصول على عوائد مالية فقط.
- تستهدف الشركات المالية العالمية، والكازينوهات، وبورصات العملات المشفرة، ومطورو برامج المعاملات المالية، وما إلى ذلك.
- اخترقت البنك المركزي البنغلاديشي وهيئة الرقابة المالية في بولندا في عام 2016، واخترقت بنك تشيلي في عام 2018.
رابعا: مجموعة أنداريل
- منظمة تابعة للمكتب ١٢١ التابع لمكتب الاستطلاع الكوري الشمالي العام وتأسست لأول مرة عام 2016 ويبلغ عدد أفرادها نحو 1600 شخص.
- تقوم بأنشطة القرصنة للحصول على معلومات تتعلق بتطوير الأسلحة وتحقيق أرباح اقتصادية
- تستهدف شركات الدفاع، وشركات الأمن، ومعاهد أبحاث الطاقة، والمنظمات ذات الصلة بالدفاع، وألعاب المقامرة، ووكالات السفر، وتبادل العملات المشفرة، وأجهزة الصراف الآلي، وما إلى ذلك.
- اخترقت قبل ذلك مركز البيانات الدفاعية المتكاملة في عام 2016، واختراق شركة الصناعات الجوية والفضائية الكورية الجنوبية KAI في عام 2021.
حمل التطبيق
© 2024 blinx. جميع الحقوق محفوظة