استغل المتسللون الكوريون الشماليون برنامج Chrome Zero-day لسرقة العملات المشفرة
استغلت مجموعة قرصنة كورية شمالية في وقت سابق من شهر أغسطس خطأً غير معروف سابقًا في المتصفحات المستندة إلى Chrome لاستهداف المؤسسات بهدف سرقة العملات المشفرة، وفقًا لمايكروسوفت.
وفي تقرير نُشر يوم الجمعة، قال باحثو الأمن السيبراني في عملاق التكنولوجيا إنهم رأوا لأول مرة أدلة على أنشطة المتسللين في 19 أغسطس، وقالوا إن المتسللين ينتمون إلى مجموعة تسمى Citrine Sleet، المعروفة باستهداف صناعة العملات المشفرة.
وفقًا للتقرير، استغل المتسللون ثغرة في المحرك الأساسي داخل Chromium، والكود الأساسي لمتصفح Chrome والمتصفحات الشائعة الأخرى، مثل Microsoft Edge. عندما استغل المتسللون الثغرة الأمنية، كان ذلك بمثابة يوم صفر، مما يعني أن صانع البرامج – في هذه الحالة، جوجل – لم يكن على علم بالخلل، وبالتالي لم يكن لديه أي وقت لإصدار إصلاح قبل استغلاله. قامت جوجل بتصحيح الخطأ بعد يومين في 21 أغسطس، وفقًا لشركة مايكروسوفت.
صرح سكوت ويستوفر، المتحدث باسم جوجل، لـ TechCrunch أن جوجل ليس لديها أي تعليق سوى تأكيد إصلاح الخلل.
وقالت مايكروسوفت إنها أخطرت “العملاء المستهدفين والمخترقين”، لكنها لم تقدم المزيد من المعلومات حول من تم استهدافه، ولا عدد الأهداف والضحايا الذين استهدفتهم حملة القرصنة هذه.
اتصل بنا
هل لديك المزيد من المعلومات حول قراصنة حكومة كوريا الشمالية، أو أنشطة القرصنة الأخرى التي ترعاها الحكومة؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
وعندما سأله موقع TechCrunch، رفض كريس ويليامز، المتحدث باسم Microsoft، تحديد عدد المنظمات أو الشركات المتضررة.
كتب الباحثون أن Citrine Sleet “مقره في كوريا الشمالية ويستهدف في المقام الأول المؤسسات المالية، وخاصة المنظمات والأفراد الذين يديرون العملات المشفرة، لتحقيق مكاسب مالية”، وأن المجموعة “أجرت استطلاعًا واسع النطاق لصناعة العملات المشفرة والأفراد المرتبطين بها” كجزء من تقنيات الهندسة الاجتماعية الخاصة بها.
وجاء في التقرير أن “ممثل التهديد ينشئ مواقع ويب مزيفة تتنكر في صورة منصات تداول عملات مشفرة مشروعة ويستخدمها لتوزيع طلبات عمل مزيفة أو جذب الأهداف لتنزيل محفظة عملات مشفرة مسلحة أو تطبيق تداول يعتمد على تطبيقات مشروعة”. “يصيب Citrine Sleet الأهداف في أغلب الأحيان باستخدام برنامج طروادة الخبيث الفريد الذي طورته، AppleJeus، والذي يجمع المعلومات اللازمة للسيطرة على أصول العملة المشفرة الخاصة بالأهداف.”
بدأ هجوم المتسللين الكوريين الشماليين بخداع الضحية لزيارة نطاق ويب تحت سيطرة المتسللين. وبعد ذلك، وبسبب ثغرة أمنية أخرى في نواة Windows، تمكن المتسللون من تثبيت برنامج rootkit – وهو نوع من البرامج الضارة التي تتمتع بإمكانية الوصول العميق إلى نظام التشغيل – على جهاز الكمبيوتر المستهدف، وفقًا لتقرير Microsoft.
عند هذه النقطة، تنتهي اللعبة بالنسبة لبيانات الضحية المستهدفة، حيث اكتسب المتسللون سيطرة كاملة على الكمبيوتر المخترق.
لقد كانت العملات المشفرة هدفًا رائعًا لقراصنة حكومة كوريا الشمالية لسنوات. وخلصت لجنة تابعة لمجلس الأمن التابع للأمم المتحدة إلى أن النظام سرق 3 مليارات دولار من العملات المشفرة بين عامي 2017 و2023. وبالنظر إلى أن حكومة كيم جونغ أون هي هدف لعقوبات دولية صارمة، فقد لجأ النظام إلى سرقة العملات المشفرة لتمويل برنامج الأسلحة النووية.
