دبي: «الخليج»
كشف خبراء كاسبرسكي الستار عن سلسلة من الهجمات التي شنتها عصابة التهديدات المتقدمة المستمرة BlueNoroff على الشركات الصغيرة والمتوسطة في أنحاء العالم، ما ألحق بها خسائر كبيرة في العملات الرقمية. وتستهدف الحملة، التي يُطلق عليها اسم SnatchCrypto، العديد من الشركات التي تتعامل بالعملات الرقمية والعقود الذكية والأدوات المالية غير المركزية (DeFi) والبلوك تشين والتقنيات المالية.
وأساءت عصابة BlueNoroff، بمهارة عالية، استغلال ثقة الموظفين العاملين في الشركات المستهدفة، عبر إرسال منفذ خلفي خاص بالنظام Windows ويعمل بمزايا كاملة بينها المراقبة، تحت ستار «عقد»، أو ملف عمل آخر. وطورت العصابة موارد واسعة وخطرة، تتضمّن بنية تحتية معقدة وعمليات استغلال وغرسات من البرمجيات الخبيثة، بهدف إفراغ محافظ العملات الرقمية الخاصة بالضحايا المستهدفين.
وتُعدّ BlueNoroff جزءاً من عصابة Lazarus، وتستخدم هيكلها المتنوِّع وتقنياتها المتطورة في شنّ الهجمات. وتشتهر Lazarus بشنّ هجمات على البنوك والخوادم المتصلة بنظام التحويلات المصرفية، وشاركت أيضاً في إنشاء شركات وهمية لتطوير برمجيات خاصة بالعملات الرقمية، ليُقدِم عملاؤها المخدوعون على تثبيت ما يبدو أنها تطبيقات سليمة، لتصلهم بعد فترة تحديثات برمجية خبيثة عبر المنفذ الخلفي المذكور.
وتتظاهر BlueNoroff بأنها إحدى شركات الاستثمارات الرأسمالية لكسب ثقة ضحاياها. وقد كشف باحثو كاسبرسكي الستار عن أن العصابة استغلّت أسماء أكثر من 15 شركة استثمارية وأسماء موظفين عاملين فيها خلال حملة SnatchCrypto. ويرى الخبراء أيضاً أن الشركات التي استُغلّت أسماؤها لا علاقة لها بهذا الهجوم، أو رسائل البريد الإلكتروني الاحتيالية التي أُرسلت تحت مظلته. ويعزو الخبراء اختيار مجرمي الإنترنت مجال العملات الرقمية إلى أنه من الطبيعي أن تتلقّى الشركات الناشئة رسائل أو ملفات من مصادر غير مألوفة، نظراً لحداثة عهدها بالسوق، كأن ترسل شركة استثمارية، مثلًا، عقداً أو ملفات تجارية أخرى إلى شركة ناشئة ما، وهو ما تستخدمه العصابات طُعماً لدفع الضحايا إلى فتح الملف المرفق بالبريد الإلكتروني، والذي لا يكون عادة سوى مستنَد مُمكَّن بماكرو.
وتمتلك عصابة التهديدات المتقدمة المستمرة هذه طرقاً مختلفة في ترسانتها التخريبية، وتجمّع سلسلة الإصابة اعتماداً على الموقف. فبجانب مستندات Word المفخخة، تُوظّف العصابة برمجيات الخبيثة متخفية بصفة ملفات اختصار مضغوطة خاصة بالنظام Windows. كذلك ترسل المعلومات العامة للضحية ووكيل واجهة الأوامر النصية Powershell، لإنشاء باب خلفي بمزايا كاملة تستخدمه BlueNoroff لتوظيف أدوات خبيثة أخرى لمراقبة الضحية، تتضمّن أداة تسجيل الضربات على لوحة المفاتيح وأداة لأخذ لقطات الشاشة.
ويتتبع المهاجمون الضحايا لأسابيع وأشهر، يجمعون خلالها الضربات على لوحات المفاتيح ويراقبون العمليات اليومية للمستخدمين، فيما يضعون الخطط لسرقة الأموال. وبعد العثور على هدف بارز يَستخدم امتداد متصفح شائع لإدارة محافظ العملات الرقمية (مثل الامتداد Metamask)، تُسارع العصابة إلى وضع إصدار مزيف محلّ المكون الرئيسي للامتداد.
