كشفت مجموعة تحليل التهديدات (TAG) التابعة لجوجل عن هجمات الكترونية جديدة شنها قراصنة مدعومون من حكومة كوريا الشمالية واستهدفت الحملة باحثين أمنيين يعملون في مجال الثغرات الأمنية وتطويرها وتم استهداف الباحثين بثغرات زيرو داي (Zero-day attack).
وتوضح TAG عبر منشورها أنه خلال هذه الحملة قام بها المهاجمون تم استغلال على الأقل ثغرة واحد من ثغرات زيرو داي وهذا النوع من الثغرات دائمًا ما يكون خطيرًا بسبب عدم كشفه ولتبسيط أكثر يمكنك وصف هذا النوع بالثغرات الفورية.
وبحسب خبراء الأمن بجوجل المكلف بحماية مستخدمين الشركة من الهجمات التي ترعاها الدول فإن الباحثين الذين تم إستهدافهم بالحملة مشاركين في أبحاث الثغرات الأمنية وتطويرها.
طريقة الهجوم التي أتبعها قراصنة كوريا الشمالية
آلية الهجوم الممنهج الذي أتخذهُ قراصنة كوريا الشمالية قائمة على بناء علاقة بين المهاجم والضحية من خلال استغلال اهتمام مشترك، كأن يقوم المهاجم بإجراء محادثة طويل تصل إلى أشهر يطلب من الضحية "الباحث" التعاون معه في حل مشكلة أمنية.
بحسب منشور فريق الأمن فأنهُ يتم استخدام منصة أكس وماستودون للبدء في المحادثة وبعد تطور العلاقة تنتقل المحادثة إلى برامج المراسلة المشفرة مثل واتساب وسيجنال وغيرهم وعندما يدرك المهاجم وصولهُ إلى أعلى مراتب الثقة يرسل ملفًا ضارًا يحتوي على استغلال لثغرة فورية واحدة على الأقل في حزمة برامج شائعة.
تتواجد الثغرة في برنامج مشهور يتم استخدامه ولكن جوجل لم تكشف عن أي تفاصيل تخص الثغرة التي يتم استخدامها في هذه الهجمات ولا حتى اسم البرنامج المُستغل.
وذكر الباحثين في مجموعة تحليل التهديدات كليمنت ليسين ومادي ستون، إن TAG يعلمون بوجود ما لا يقل عن ثغرة زيرو داي واحدة رُصد استغلالها بكثرة خلال الأسابيع القليلة الماضية لاستهداف الباحثين الأمنيين ولقد تم إبلاغ الجهة المالكة للبرنامج المتأثر بالثغرة الأمنية وهي الآن قيد التصحيح.
بعد إرسال الملف ونجاح الاستغلال يقوم البايلود بإجراء سلسلة من عمليات الفحص في أجهزة الباحثين ثم يقوم بإرسال المعلومات المجمعة ومن ضمنها لقطات الشاشة إلى خوادم والمهاجمين.
أيضًا يستخدم المهاجمون الهندسة العكسية على أداة GetSymbol وهي أداة مفتوحة المصدر تساعد فقط في تنزيل رموز تصحيح الأخطاء الخاصة بمايكروسوفت وموزيلا وجوجل وسيتريكس وعند تطبيق الهندسة العكسية فإنها تسمح أيضًا بتنزيل تعليمات برمجية عشوائية من خوادم يتحكم فيها المهاجم.
تشبه هذه الحملة حملة سابقة نفذتها نفس الجهات على الباحثين الأمنيين تم الكشف عنها من قبل TAG في يناير 2021 وعلى مدى عامين ونص العام اسمتر فريق تحليل التهديدات بتتبع وتعطيل الحملات التي تقوم بها هذه الجهات الفاعلة.