هيفاء الأمين - أبوظبي
المجموعة التخريبية الناطقة بالكورية ScarCruft تطوّر برمجية خبيثة لتحديد الأجهزة المتصلة عبر بلوتوث
28 مايو 2019
اكتشف باحثون لدى كاسبرسكي لاب يراقبون نشاط المجموعة التخريبية واسعة المهارة ScarCruft الناطقة باللغة الكورية، أنها تقوم بتطوير أدوات وتقنيات جديدة واختبارها، كما توسّع نطاق المعلومات التي يتم جمعها من الضحايا، وتزيد من حجم تلك المعلومات. ووجد الباحثون كذلك أن من بين أشياء أخرى تقم بها المجموعة التخريبية، إنشاء شيفرة برمجية قادرة على تحديد أجهزة المتصلة عبر تقنية بلوتوث.
ويُعتقد أن التهديد المتقدم المستمر الذي تمثله ScarCruft يتمّ برعاية حكومية، إذ عادة ما يستهدف كيانات حكومية وشركات لها علاقات بشبه الجزيرة الكورية، بحثاً فيما يبدو عن معلومات ذات أهمية سياسية. وثمّة دلائل لاحظتها كاسبرسكي لاب على أن المجموعة التخريبية تطوّر وتختبر أدوات خبيثة جديدة، وأن لديها اهتماماً متزايداً في الحصول على البيانات من الأجهزة المحمولة مُظهرة قدرتها على تكييف الأدوات والخدمات الشرعية واستخدامها لصالح عمليات التجسس الإلكتروني التي تُجريها.وتبدأ هجمات المجموعة، مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة، إما عن طريق التصيّد الموجّه أو الاختراق الاستراتيجي لمواقع الويب، والذي يُعرف أيضاً باسم هجمات "كمائن بِرك الشرب" Watering-Hole باستغلال ثغرات أو باللجوء إلى حيل أخرى لإصابة زوار محددين لبعض مواقع الويب التي يتمّ اختراقها ونصب الكمين فيها.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-L4FbGnrJOqugJdzp7NwHzQ24TzEZDjuB0K8Ak2tFZkuMuCTb0ize1royBglnMhj1Gvplf96qUXs1DroFbJpMzNlHtLfp8icChX9QWRDtHw214p1dwcWRooxzZdFsaiNglClhsQ5HkfDr/s640/94F4AD5C-9BD9-4E6E-9B15-9C54797FCE53.jpeg)
وكشف باحثو كاسبرسكي لاب عن اهتمام المجموعة بسرقة البيانات من الأجهزة المحمولة، فضلاً عن برمجيات خبيثة تأخذ صوراً لبصمات الأصابع من أجهزة بلوتوث باستخدام واجهة برمجة التطبيقات الخاصة ببلوتوث في النظام "ويندوز" Windows Bluetooth API.
ووجد استناداً إلى بيانات القياس عن بُعد، بأنه كان من ضحايا هذه الحملة شركات استثمارية وتجارية في فيتنام وروسيا قد تكون على علاقة بكوريا الشمالية، فضلاً عن كيانات دبلوماسية في هونغ كونغ وكوريا الشمالية. ووجد كذلك أن ضحية في روسيا أصيبت بهجوم ScarCruft كان قد سبق لها أن أصيبت بهجوم شنته مجموعة DarkHotel الناطقة بالكورية.
وقال سيونغسو بارك أحد كبار الباحثين الأمنيين في فريق الأبحاث والتحليلات العالمي التابع لكاسبرسكي لاب، إن هذه ليست المرة الأولى التي يُشاهد فيها تداخل بين ScarCruft وDarkHotel، مشيراً إلى وجود "اهتمامات متشابهة" بالأهداف لدى المجموعتين، بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما، وقال: "يقودنا هذا الأمر إلى الاعتقاد بأن إحدى المجموعتين تتربص بضحاياها بانتظام في ظل المجموعة الأخرى، ومع أن ScarCruft تتسم بالحذر ولا ترغب في الظهور، فقد أثبتت أنها مجموعة
تتمتع بمهارات عالية ونشاط كبير، مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها، ونعتقد بأنها سوف تواصل التقدّم".
تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تكتشف وتمنع هذا التهديد.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZZ22oePyNoKhDtpc96PDJBCj4ZWMwWsYKzeTmWnHxhNAAGdbAjknhxvTF6QCcm0AeGdcqyzjD3xoEhIOLngxFZHnVGpKv4G8_yuOvLla9vwfJJ6pWlDI-HsRw5O_4J7xLuM5dYKwo-tkh/s640/E0ABACEE-A187-4A89-BE1D-BBED79CCF21A.jpeg)