المنبر التونسي (العصابة الإجرامية الإلكترونية Blue Noroff) – أماط خبراء شركة “كاسبرسكي” الرائدة في مجال الحماية من الفيروسات، الستار عن سلسلة الهجمات التي شنتها مجموعة التهديدات المستعصية المتقدمة Blue Noroff ضد الشركات الصغيرة والمتوسطة في مختلف أنحاء العالم.
هذه الهجمات أسفرت عن تسجيل خسائر مالية كبيرة لدى الضحايا فيما يخص العملات الرقمية التي يعتمدون عليها في عملهم. وتستهدف الحملة تحمل إسم “ SnatchCrypto” مختلف الشركات التي تعمل بالعملات الرقمية والعقود الذكية، والأدوات المالية غير المركزية، وسلسلة الكتل “البلوك تشين”، والتقنيات المالية أيضا.
خلال حملة Blue Noroff الأخيرة، استغل المواجمون بمهارة كبيرة ثقة الموظفين العاملين في الشركات المستهدفة، من خلال بعث منفذ خلفي يعمل بنظام “ويندوز” ذو مزايا كاملة تشمل عملية المراقبة أيضا، وذلك من خلال إرسال البرمجية الخبيثة على شكل “عقد”، أو عبارة عن ملف آخر، بهدف شد انتباههم وضمان سقوطهم في الفخ.
ولتحقيق هدفهم المتمثل في سلب وسرقة محافظ العملات الرقمية للضحايا، عمل هؤلاء المهاجمون الإلكترونيون على تطوير موارد متعددة وخطيرة ترتكز أساسا على البنيات التحتية المعقدة، وعمليات الاستغلال، وإدماج ملفات البرمجيات خبيثة.
وتجدر الإشارة إلى أن BlueNoroff هي جزء من عصابة “ Lazarus“، وتعتمد في شن هجماتها الإلكترونية على هيكلها المتنوع وتقنياتها التكنولوجية المتقدمة، حيث تشتهر العصابة بشن هجمات على البنوك والخوادم المتصلة بنظام التحويلات المصرفية المعروفة اختصارا بـ SWIFT.
وعملت المجموعة من أجل ضمان نجاح أهدافها الخبيثة على إحداث شركات وهمية من أجل تطوير برامج خاصة بالعملات الرقمية، إلى جانب زبناء مخادعون يعملون على تثبيت البرمجية على أساس أنها تطبيقات آمنة، لكن بمجرد إدخال التحديثات، تتسلل البرمجية الخبيثة عبر المنفذ الخلفي سالف الذكر.
اليوم، تستهدف BlueNoroff الشركات الناشئة الصغيرة والمتوسطة التي تعمل في مجال العملات الرقمية، والتي غالبا ما لا تستثمر الكثير من المال في تقوية نظامها الأمني الداخلي، لذلك تستغل العصابة الإلكترونية هذا الضعف، من خلال استخدام مخططات هندسية اجتماعية.
ومن أجل إيقاع الضحية بالفخ، وكسبه ثقته خصوصا، تنتحل BlueNoroff صفة إحدى شركات الاستثمارات الرأسمالية، وكشف باحثو شركة “كاسبرسكي” في هذا الصدد، أن أفراد العصابة انتحلوا صفة ما يفوق 15 شركة استثمارية، وأسماء موظفين داخلها خلال القيام بحملة SnatchCrypto.
وفي هذا الاتجاه، يرى خبراء كاسبرسكي، أن الشركات الحقيقية لا علاقة لها بهذا الهجوم أو رسائل البريد الإلكتروني، ذلك أن مجرمي الإنترنت وقع اختيارهم على مجال الشركات الناشئة لسبب واحد، لكونها تتوصل دائما برسائل وملفات من مصادر غير معروفة، ونذكر هنا على سبيل المثال، أن شركة استثمارية رأسمالية يُمكنها أن ترسل لهم عقد عمل أو ملف آخر له علاقة بالاستثمار، وتعمل بذلك مجموعة التهديدات المستعصية المتقدمة على إغراء الضحايا بفتح مرفق البريد الإلكتروني، الذي يكون عادة “ماكرو”.يُمكن لمستخدم متأن أن يُدكر أن الأمور ليست آمنة، في الوقت الذي تظهر نافذة جديدة لتحميل MS Word
لا يُمكن للملف أن يُشكل أي خطر في حالة فتحه دون الحاجة إلى استخدام الإنترنت، لأنه من المرجح أن يبدو كنسخة من عقد أو مستند آخر لا يشكل أي تهديد أمني، لكن إذا كان الكمبيوتر متصلا بالإنترنت وقت فتح الملف، يتم استعادة مستند آخر تم تفعيله بواسطة ماكرو على جهاز الضحية، وبالتالي نشر البرمجية الخبيثة.
وفي هذا الصدد، تتوفر مجموعة التهديدات المستعصية المتقدمة Blue Noroff على العديد من المنهجيات في ترسانتها التخريبية، وتجمع سلسلة الإصابة بناء على الموقف الذي تعيشه واقعيا.
وإلى جانب وثائق Word المفخخة، تعمل المجموعة على توظيف برمجيات خبيثة متخفية على شكل ملفات اختصار مضغوطة خاصة بنظام “ويندوز”، حيث يتم من خلالها إرسال معلومات شاملة حول الضحية ووكيل واجهة الأوامر النصية Powershell، بهدف إحداث باب خلفي بنفس المزايا الكاملة الخاصة بـ Blue Noroff لتوظيف أدوات خبيثة أخرى من شأنها مراقبة الضحية، والتي تشمل أيضا برنامج لتسجيل لوحة المفاتيح والحصول على لقطات من الشاشة.
بعد هذه العملية، يقوم المهاجمون برصد وتتبع الضحايا لمدة أسابيع وحتى أشهر، ويعملون على امتداد هذه الفترة على جمع كل ما يتم القيام به استنادا على لوحات المفاتيح، ومراقبة العمليات اليومية للمستخدم/الضحية، وفي الوقت ذاته، العمل على وضع إستراتيجية من أجل سرقة أمواله.
بعد أشهر من المراقبة، وبمجرد العثور على هدف مهم يستخدم امتداداً شائعاً للمتصفح لإدارة محافظ العملات الرقمية مثل Metamask، يعمل المهاجمون على استبدال الامتداد الرئيسي بنسخة مزيفة.
وحسب ما كشف عنه باحثو كاسبركي، فإن المهاجمون يتوصلون بإشعار عند قيام المستخدم/الضحية بتحويل مالي مهم، وحين يحاول الأخير تحويل مبلغ كبير من العملات الرقمية، ومباشرة تعمل برمجية خبيثة للمهاجمين على اعتراضه. ومن أجل إتمام عملية الدفع، يضغط المستخدم على الزر التالي ثم “الموافقة”، وفي هذا الوقت تحديدا، يعمل المهاجمون الإلكترونيون على تغيير العنوان ويرفعون معاملة التحويل، ويفرغون الحساب الكامل للضحية بنقرة واحدة.
تهاجم المجموعة الأفراد مهما كان بلدهم وهم نشيطون بقوة
في هذا الصدد، قال سونغسو بارك، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي :”ينبغي على الشركات الصغيرة أن تدرب موظفيها على الممارسات الأساسية لحماية أنفسهم من الهجمات الإلكترونية، لأن المهاجمون يواصلون سنة تلو الأخرى على تطوير طرق جديدة لإيقاعهم الضحايا في الفخ. أهمية الممارسات الرقمية الأساسية تُصبح ذات أهمية أكبر حين تعمل الشركة بمحافظ العملات الرقمية. لا يوجد أي حرج في الاعتماد على خدمات العملات الرقمية، لكن من الضروري معرفة أنها هدف مجموعة التهديدات المستعصية المتقدمة والمهاجمين الإلكترونيين على حد سواء، والحماية في هذا القطاع مهمة جدا”.
يُمكنكم الإطلاع على التقرير الكامل حول BlueNoroff على موقعنا Securelist.
وفيما يلي، تقترح شركة كاسبرسكي التدابير التي يُمكن للشركات تتبعها من أجل حماية نفسها من أي هجوم إلكتروني:
• ضرورة تزويد الموظفين بالتدريب الأساسي في مجال الأمن الرقمي، على اعتبار أن عدد كبير من الهجمات المستهدفة تبدأ بالاحتيال والمحاولات المبنية على أساليب الهندسة الاجتماعي.
• القيام بتدقيق للأمن الرقمي للشبكات ومعالجة الثغرات التي جرى رصدها في محيط الشبكة أو داخلها.
• يصعب العثور على أداة زرع الامتداد المزيف بشكل يدوي، إلا في حالة ما إذا كان المسؤول الأمني معتاد على قاعدة بيانات MetamasK، لكن، مع ذلك، يترك تعديل امتداد “الكروم” أثرا، إذ يجب تحويل المتصفح إلى وضعية “المطور” Developer Mode ، وتثبيت امتداد Metamask من دليل محلي، عوض متجر عبر الإنترنت. في حالة كان مصدر الامتداد من متجر ما، فإن “كروم” يفرض التحقق من صحة التوقيع الرقمي للشيفرة لضمان سلامتها، وعليه، ينبغي في حالة الشك المسارعة إلى التحقق من امتداد Metamask وإعدادات “كروم”.
• تثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب. ضرورة تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات وإكسابهم المهارات بانتظام من خلال التدريب المهني، ويُمكن الإطلاع على جميع هذه العناصر على Kaspersky Expert Security.
• من شأن الخدمات التخصصية، مثل الخدمة المُدارة لاكتشاف التهديدات والاستجابة لها من كاسبرسكي Kaspersky Managed Detection and Response، أن تساعدك في الحماية من الهجمات عالية المستوى، عبر تحديد الهجمات وإيقافها في مراحلها الأولى، قبل أن يحقق المهاجمون أهداهم.
نبذة حول “كاسبيرسكي”
تأسست شركة “كاسبرسكي” العالمية للأمن السيبراني سنة 1997.
الشركة معروفة بخبرتها الكبيرة في مجال أمن التهديدات وأمن تكنولوجيا المعلوميات، وتعمل دائما على إنشاء حلول وخدمات أمنية لحماية الشركات والبنيات التحتية الحيوية، والسلطات العامة والأفراد في جميع أنحاء العالم.
تضمن مجموعة الحلول الأمنية الواسعة لـ “كاسبرسكي” حماية شاملة ونهائية للهواتف وإضافة إلى حلول وخدمات أمنية مخصصة لمكافحة التهديدات الرقمية المتطورة باستمرار.
كما تساعد تقنيات “كاسبيرسكي” أكثر من 400 مليون مستخدم و240.000 زبون على حماية الأشياء الأكثر أهمية بالنسبة لهم.
للحصول على معلومات أكثر، يمكنكم زيارة موقعنا عبر النقر على الرابط أسفله:
