جوجل: كوريا الشمالية تستهدف الباحثين الأمنيين

حددت مجموعة تحليل التهديدات في شركة جوجل حملة مستمرة تستهدف الباحثين الأمنيين الذين يعملون على نقاط الضعف خلال الأشهر القليلة الماضية.

ويقول الفريق: إن كيانًا مدعومًا من الحكومة مقره في كوريا الشمالية يقف وراء الهجمات، التي تستخدم عادةً الهندسة الاجتماعية للتفاعل مع الضحايا.

وفي تدوينة تشرح بالتفصيل الحملة، أوضح (آدم ويدمان) Adam Weidemann من مجموعة تحليل التهديدات في شركة جوجل أن الجهات الفاعلة السيئة تبذل قصارى جهدها لكسب ثقة الضحايا، في الغالب من خلال التظاهر بأنهم باحثون.


وكانت الجهات الفاعلة السيئة تبني مدوناتها البحثية الخاصة وتضيف إليها تحليل نقاط الضعف التي تم الكشف عنها علنًا لجعلها تبدو شرعية.

واحتفظت الجهات الفاعلة السيئة أيضًا بحسابات عبر منصة تويتر لنشر مقاطع الفيديو عن الاستغلالات المزعومة من أجل الوصول إلى أكبر عدد ممكن من الأشخاص.

وفي حالة واحدة على الأقل، وجدت جوجل أن أحد الحسابات عبر تويتر دافع عن مقطع فيديو يحتوي على استغلال تبين أنه مزيف نشرته الجهات الفاعلة السيئة عبر يوتيوب.


وقال فريق مجموعة تحليل التهديدات في شركة جوجل: إن المهاجمين اتصلوا بضحاياهم المقصودين، وطلبوا التعاون في أبحاث الثغرات الأمنية.

وبصرف النظر عن منصة تويتر، استخدموا أيضًا لينكدإن وتيليجرام و Discord و Keybase والبريد الإلكتروني للوصول إلى أهدافهم، وإرسال مشروع Microsoft Visual Studio مع البرامج الضارة للدخول إلى أنظمتهم.

وفي بعض الحالات، تم اختراق أجهزة الحاسب الخاصة بالضحايا بعد زيارة مدونة أحد الممثلين السيئين بعد اتباع رابط عبر تويتر.


وأدت كلتا الطريقتين إلى تثبيت باب خلفي ضمن أجهزة الحواسيب الخاصة بالضحايا يربط تلك الأجهزة بخادم قيادة وتحكم يتحكم فيه المهاجم.

وتم اختراق أنظمة الضحايا أثناء تشغيل متصفح جوجل كروم ونظام التشغيل ويندوز 10 المحدثان بالكامل.

ورأى فريق مجموعة تحليل التهديدات في شركة جوجل أن المهاجمين يستهدفون أنظمة ويندوز فقط، حتى الآن، لكنه لا يزال غير قادر على تأكيد آلية الاختراق ويشجع الباحثين على إرسال ثغرات متصفح كروم إلى برنامج مكافآت الأخطاء.


وأدرج فريق مجموعة تحليل التهديدات في شركة جوجل جميع مواقع الويب التي تتحكم فيها الجهات الفاعلة السيئة والحسابات التي حددها بصفتها جزء من الحملة.