هيفاء الأمين - أبوظبي
المجموعة التخريبية الناطقة بالكورية ScarCruft تطوّر برمجية خبيثة لتحديد الأجهزة المتصلة عبر بلوتوث
28 مايو 2019
اكتشف باحثون لدى كاسبرسكي لاب يراقبون نشاط المجموعة التخريبية واسعة المهارة ScarCruft الناطقة باللغة الكورية، أنها تقوم بتطوير أدوات وتقنيات جديدة واختبارها، كما توسّع نطاق المعلومات التي يتم جمعها من الضحايا، وتزيد من حجم تلك المعلومات. ووجد الباحثون كذلك أن من بين أشياء أخرى تقم بها المجموعة التخريبية، إنشاء شيفرة برمجية قادرة على تحديد أجهزة المتصلة عبر تقنية بلوتوث.
ويُعتقد أن التهديد المتقدم المستمر الذي تمثله ScarCruft يتمّ برعاية حكومية، إذ عادة ما يستهدف كيانات حكومية وشركات لها علاقات بشبه الجزيرة الكورية، بحثاً فيما يبدو عن معلومات ذات أهمية سياسية. وثمّة دلائل لاحظتها كاسبرسكي لاب على أن المجموعة التخريبية تطوّر وتختبر أدوات خبيثة جديدة، وأن لديها اهتماماً متزايداً في الحصول على البيانات من الأجهزة المحمولة مُظهرة قدرتها على تكييف الأدوات والخدمات الشرعية واستخدامها لصالح عمليات التجسس الإلكتروني التي تُجريها.وتبدأ هجمات المجموعة، مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة، إما عن طريق التصيّد الموجّه أو الاختراق الاستراتيجي لمواقع الويب، والذي يُعرف أيضاً باسم هجمات "كمائن بِرك الشرب" Watering-Hole باستغلال ثغرات أو باللجوء إلى حيل أخرى لإصابة زوار محددين لبعض مواقع الويب التي يتمّ اختراقها ونصب الكمين فيها.
ويتمّ تنفيذ هذا الأمر، في حالة ScarCruft، عبر مراحل؛ أولها إصابة تتيح تجاوز التحكّم في حساب مستخدم النظام "ويندوز" Windows، للتمكّن من تنفيذ الخطوة التالية بإنزال الحمولة الخبيثة عبر امتيازات أعلى وباستخدام شيفرة برمجية عادة ما توظفها الشركات توظيفاً شرعياً لاختبار قدرة الجهات التخريبية على اختراق أنظمتها التقنية. وتستخدم البرمجية الخبيثة أسلوب "ستيغانوغرافي"، أو مواراة المعلومات وإخفائها، من أجل تجنب الانكشاف عند المستوى الشبكي، مُخفية الشيفرة الخبيثة داخل ملف صورة. وتتمثل المرحلة الأخيرة من الهجوم بتركيب منفذ خلفي قائم على الخدمة السحابية يُعرف باسم ROKRAT. ويجمع هذا المنفذ الخلفي مجموعة كبيرة من المعلومات من الأنظمة والأجهزة التي وقعت ضحية للهجوم، ويمكنه إعادة توجيهها إلى أربع خدمات سحابية هي Box وDropbox وpCloud وYandex.Disk.
وكشف باحثو كاسبرسكي لاب عن اهتمام المجموعة بسرقة البيانات من الأجهزة المحمولة، فضلاً عن برمجيات خبيثة تأخذ صوراً لبصمات الأصابع من أجهزة بلوتوث باستخدام واجهة برمجة التطبيقات الخاصة ببلوتوث في النظام "ويندوز" Windows Bluetooth API.
ووجد استناداً إلى بيانات القياس عن بُعد، بأنه كان من ضحايا هذه الحملة شركات استثمارية وتجارية في فيتنام وروسيا قد تكون على علاقة بكوريا الشمالية، فضلاً عن كيانات دبلوماسية في هونغ كونغ وكوريا الشمالية. ووجد كذلك أن ضحية في روسيا أصيبت بهجوم ScarCruft كان قد سبق لها أن أصيبت بهجوم شنته مجموعة DarkHotel الناطقة بالكورية.
وقال سيونغسو بارك أحد كبار الباحثين الأمنيين في فريق الأبحاث والتحليلات العالمي التابع لكاسبرسكي لاب، إن هذه ليست المرة الأولى التي يُشاهد فيها تداخل بين ScarCruft وDarkHotel، مشيراً إلى وجود "اهتمامات متشابهة" بالأهداف لدى المجموعتين، بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما، وقال: "يقودنا هذا الأمر إلى الاعتقاد بأن إحدى المجموعتين تتربص بضحاياها بانتظام في ظل المجموعة الأخرى، ومع أن ScarCruft تتسم بالحذر ولا ترغب في الظهور، فقد أثبتت أنها مجموعة
تتمتع بمهارات عالية ونشاط كبير، مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها، ونعتقد بأنها سوف تواصل التقدّم".
تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تكتشف وتمنع هذا التهديد.
