كشف قسم استخبارات التهديدات في "غوغل كلاود" (Google Cloud) أن المهاجمين السيبرانيين المدعومين من الحكومة الكورية الشمالية يستهدفون بنشاط بورصات العملات المشفرة وشركات التكنولوجيا المالية في البرازيل.

كما سلّط تقرير استخبارات التهديدات الصادر عن "غوغل" في 13 يونيو، الضوء على المحاولات المنسّقة لاختطاف الأفراد والمنظمات البرازيلية وابتزازها والاحتيال عليها.

المضدر: Mandiant (part of Google Cloud)

في حين تركّز المجموعات الكورية الشمالية في المقام الأول على شركات العملات المشفرة والفضاء والدفاع والكيانات الحكومية، فإن مجرمي الإنترنت المدعومين من الحكومة الصينية يفضّلون مهاجمة المنظمات الحكومية وقطاع الطاقة في البرازيل فقط.

المؤامرة الكامنة وراء الهجمات الإلكترونية في البرازيل

استهدفت مجموعة المخترقين الكوريين الشماليين "Pukchong" (المعروفة أيضاً باسم UNC4899) المواطنين والمنظّمات البرازيلية من خلال سوق العمل، حيث قاموا بخداع الباحثين عن عمل المطمئنّين واقنعوهم بتحميل البرامج الضارة على أنظمتهم. ووفقاً للتقرير:

"كان المشروع عبارة عن تطبيق بايثون أحادي، صُمم لاسترداد أسعار العملات المشفرة، وقد تم تعديله للوصول إلى نطاق يتحكم فيه المهاجم، وقادر على استرداد معلومات المرحلة الثانية إذا تم استيفاء شروط محددة."

كما تم اكتشاف هجمات خبيثة مماثلة قامت بها "GoPix" و"URSA"، واستهدفت بنشاط شركات الكريبتو البرازيلية.

هجمات التصيّد الاحتيالي المدعومة من الحكومة والتي تستهدف البرازيل. المصدر: Google Cloud

يمكنكم الاطلاع على دليل "كوينتيليغراف" لمعرفة المزيد حول البرامج الضارة المُتعلّقة بالعملات المشفرة وكيفية اكتشافها.

الهجمات العالميّة

مؤخراً، طلب مزود محفظة العملات المشفرة "Trust Wallet" من مستخدمي "Apple" تعطيل خدمة "iMessage"، مشيراً إلى وجود "معلومات موثوقة" حول ثغرة "زيرو داي" التي يمكن للمخترقين من خلالها التحكم في هواتف المستخدمين.
المصدر: Trust Wallet

تُعرف ثغرة "زيرو داي" بأنها هجوم إلكتروني يستغلّ أي عيب أمني غير معروف في برامج الكمبيوتر أو الأجهزة أو البرامج الثابتة.

وقد كشفت مؤخراً شركة الأمن السيبراني "Kaspersky" أن مجموعة القرصنة الكورية الشمالية "Kimsuky" استخدمت متغيراً جديداً "مذهلاً" من البرامج الضارة يُطلق عليه اسم "دوريان" لشنّ هجمات على شركات الكريبتو الكوريّة الجنوبيّة.

المصدر: Kaspersky

ومن جهتها، كتبت كاسبرسكي: "يستغلّ دوريان وظائف الباب الخلفي الشاملة، مما يتيح له تنفيذ أوامر المخترقين وتحميل الملفات الإضافية وتسريب الملفات".

وبالإضافة إلى ذلك، أشارت "كاسبرسكي" إلى أنَّ (LazyLoad) كانت تُستخدَم أيضاً من قبلِ "أنداريال" (Andariel)، وهي مجموعة فرعية داخل مجموعة القرصنة الكورية الشمالية ’لازاروس غروب‘ (Lazarus Group)، مما يشير إلى وجود صلة "ضئيلة" بين ’كيمسوكي‘ (Kimsuky) ومجموعة القرصنة الأكثر شهرة.

المزيد على كوينتيليغراف عربي: مخترقو ’Orbit Chain‘ ينقلون 48 مليون دولار إلى ’Tornado Cash‘ بعد أشهُر من الصمت