عصابة التهديدات المتقدمة المستمرة Lazarus تهاجم الصناعات الدفاعية وتطوّر قدرات الهجوم عبر سلاسل التوريد

تحرص الجهات التخريبية التي تقف وراء التهديدات المتقدمة المستمرة على تطوير أساليب عملها باستمرار. وبينما يختار بعضها العمل وفق استراتيجيات متّسقة، يتبنى البعض الآخر أساليب وتكتيكات وإجراءات جديدة. وقد شهد باحثو كاسبرسكي في الربع الثالث كيف تمكّنت عصابة Lazarus النشطة المختصة بالتهديدات المتقدمة المستمرة أن تطوّر قدرات الهجوم على الشركات والمؤسسات عبر سلاسل التوريد، واستخدام منظومة MATA متعددة المنصّات لأغراض التجسس الرقمي. وجرى الكشف عن هذا التوجّه وغيره من التوجهات المتعلقة بالهجمات المتقدمة المستمرة من أنحاء العالم في أحدث تقرير موجز ربع سنوي تُصدره كاسبرسكي حول معلومات التهديدات الرقمية.

وتُعدّ Lazarus إحدى أنشط الجهات التخريبية في مجال التهديدات الرقمية في العالم، والتي تنشط منذ العام 2009 أو قبله. ووقفت هذه العصابة وراء حملات تجسّس رقمي كبيرة وهجمات واسعة النطاق ببرمجيات الفدية، ورُصدت تهاجم مؤسسات عاملة في الصناعات الدفاعية وسوق العملات الرقمية، إذ يبدو أنها اختارت تطبيق مجموعة متنوعة من الأدوات المتقدمة الواقعة تحت تصرفها، على أهداف جديدة.

ولاحظ باحثو كاسبرسكي في يونيو 2021 أن العصابة شنّت هجمات على مؤسسات عاملة في الصناعات الدفاع باستخدام منظومة MATA متعددة المنصّات للبرمجيات الخبيثة، والتي يمكنها استهداف ثلاثة أنظمة تشغيل هي Windows وLinux وmacOS. وكانت Lazarus استخدمت هذه المنظومة لمهاجمة العديد من القطاعات لأغراض جُرمية، كسرقة قواعد بيانات العملاء ونشر برمجيات الفدية. لكن باحثي كاسبرسكي تتبّعوا استخدام Lazarus لمنظومة MATA التخريبية في أغراض التجسّس الرقمي. وأقدمت العصابة على زرع تروجان للتجسس في نسخة من تطبيق يُعرف أن الضحية المستهدفة تستخدمه، وهو أسلوب تشتهر به هذه العصابة.

تجدر الإشارة إلى أن هذه ليست المرة الأولى التي تهاجم فيها Lazarus الصناعات الدفاعية؛ إذ كانت نفّذت حملة سابقة دُعيت بالاسم ThreatNeedle بطريقة مماثلة في منتصف العام 2020.

كذلك رُصدت Lazarus وهي تعزز قدرات الهجوم على أهدافها عبر سلاسل التوريد باستخدام مجموعة DeathNote المحدثة من الأدوات التخريبية، والتي تتألف من نسخة محدثة من BLINDINGCAN، البرمجية الخبيثة التي أبلغت عنها في السابق وكالة الأمن الرقمي وأمن البنية التحتية الأمريكية. ووجد باحثو كاسبرسكي حملات استهدفت مركز أبحاث في كوريا الجنوبية وشركة لحلول مراقبة الأصول التقنية. ففي حالة مركز الأبحاث، وجد باحثو كاسبرسكي أن Lazarus طورت سلسلة إصابة انبثقت من برمجية أمنية رسمية كورية وجعلوها تنشر برمجيات خبيثة، أما في الحالة الثانية فكان الهدف شركة في لاتفيا تعمل على تطوير حلول مراقبة للأصول التقنية، ما يُعدّ ضحية غير تقليدية لعصابة الإنترنت التخريبية.

واستخدمت Lazarus، في إطار سلسلة الإصابة، أداة تنزيل تسمى Racket وقّعت على موثوقيتها باستخدام شهادة مسروقة، كما اخترقن خوادم ويب عبر ثغرات أمنية وحملت عليها العديد من الشيفرات النصية لفرز الغرسات الخبيثة والتحكّم فيها على الأجهزة التي تنجح في اختراقها.

وقال أرييل جونغيت، باحث أمني أول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن هذه التطورات الأخيرة تسلّط الضوء على أمرين مهمين؛ أولهما أن Lazarus ما زالت مهتمة باستهداف الصناعات الدفاعية وتتطلع إلى توسعة قدراتها بهجمات تُنفّذ عبر استهداف أضعف الحلقات في سلاسل التوريد، مشيرًا إلى أنها ليست الوحيدة التي شوهدت تشنّ هجمات عبر سلاسل التوريد. وأضاف: “تتبّعنا في الربع الماضي هجمات مثل هذه نفذتها عصابتا SmudgeX وBountyGlad، وجميعها هجمات يمكن عندما يتم تنفيذها بنجاح أن تُسفر عن نتائج مدمرة تمتدّ آثارها إلى أكثر من جهة، وهو ما رأيناه بوضوح في هجوم SolarWinds العام الماضي، الأمر الذي يستدعي توخي اليقظة والحذر وتركيز جهود الحماية على تلك الجبهة”.

ويوجز تقرير كاسبرسكي لتوجهات التهديدات المتقدمة المستمرة للربع الثالث نتائج تقارير حول معلومات التهديدات مستمدّة من المشتركين في كاسبرسكي، والتي تتضمن أيضًا بيانات المؤشرات على حدوث الاختراق، وقواعد YARA، للمساعدة في جهود البحث الجنائي وتصيّد البرمجيات الخبيثة. ويمكن للمعنيين الحصول على معلومات أوفى عبر مراسلة الشركة على البريد الإلكتروني: intelreports@kaspersky.com.

هذا، ويوصي باحثو كاسبرسكي بتنفيذ التدابير التالية لتجنب الوقوع ضحية لهجوم موجه، سواء من قبل جهة تهديد معروفة أو مجهولة:

• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية. ويمكن الحصول مجانًا على مزايا هذه الخدمة التي تسمح للمستخدمين بالتحقق من الملفات وعناوين URL وعناوين IP.
• صقل مهارات فريق الأمن الرقمي للتعامل مع أحدث التهديدات الموجّهة، وذلك من خلال التدريب المقدم من كاسبرسكي عبر الإنترنت والذي طوره خبراء فريق البحث والتحليل العالمي.
• تنفيذ حلول الكشف عن التهديدات والاستجابة لها، مثل الحلّ Kaspersky Endpoint Detection and Response، لتمكين الكشف عن الحوادث عند النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• تطبيق حل أمني على المستوى المؤسسي قادر على الكشف عن التهديدات المتقدمة على مستوى الشبكات في مرحلة مبكرة، وذلك مثل الحلّ Kaspersky Anti Targeted Attack Platform.
• تقديم تدريب على الوعي الأمني وعلم المهارات العملية لفرق العمل، من خلال Kaspersky Automated Security Awareness Platform، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيد وتعتمد على مبادئ الهندسة الاجتماعية.

يمكن الاطلاع على تقرير توجهات التهديدات المتقدمة المستمرة للربع الثالث على Securelist.com.