أبحاث «إسيت» تكتشف Lazarus، الذي يهاجم برامج أمن “سلسلة التوريد” في كوريا الجنوبية
اكتشف مؤخرًا الباحثون في شركة «إسيت» ESET محاولات لنشر البرامج الضارة Lazarus التي تقوم بمهاجمة “سلسلة التوريد” supply-chain (على الأجزاء الأقل أمانًا من شبكة التوريد) في كوريا الجنوبية. استخدم المهاجمون آلية غير عادية لمهاجمة برامج “سلسلة التوريد” من أجل إتمام هجومهم، حيث أساءوا استخدام برامج الأمن الشرعية والشهادات الرقمية المسروقة من شركتين مختلفتين. تم تسهيل الهجوم لـ Lazarus نظرًا لأن مستخدمي الإنترنت في كوريا الجنوبية غالبًا ما يُطلب منهم تثبيت برامج أمن إضافية عند زيارة مواقع التصفح الحكومية أو الخدمات المصرفية عبر الإنترنت.
ويوضح “أنطون شيريبانوف”، الباحث في شركة «إسيت»، والذي قاد التحقيق في الهجوم، وقال: “لفهم هجوم سلسلة التوريد الجديد هذا، يجب أن تدرك أن هناك تطبيق كوري جنوبي يساعد في إدارة برامج الأمن الإضافية يسمى WIZVERA VeraPort، وهو عبارة عن “برنامج تثبيت متكامل”. عندما يتم تثبيت WIZVERA VeraPort، يتلقى المستخدمون جميع البرامج الضرورية التي يتطلبها موقع تصفح معين ويقومون بتثبيتها. ومطلوب حد أدنى من تفاعل المستخدم لبدء تثبيت مثل هذا البرنامج، وعادةً ما يتم استخدام هذا البرنامج بواسطة المواقع الحكومية والمصرفية في كوريا الجنوبية”.
بالإضافة إلى ذلك، استخدم المهاجمون شهادات توقيع رمز تم الحصول عليها بطريقة غير مشروعة للتوقيع على عينات البرامج الضارة. ومن المثير للاهتمام أن إحدى هذه الشهادات تم إصدارها لفرع في الولايات المتحدة لشركة أمنية كورية جنوبية. وصرح “بيتر كالاني” الباحث في شركة «إسيت»، و الذي حلل هجوم Lazarus مع “شيريبانوف”، وقال: “قام المهاجمون بعمليات بتمويه لعينات برامج Lazarus الضارة على أنها برامج مشروعة. هذه العينات لها أسماء ملفات وأيقونات وموارد مماثلة لبرامج كورية جنوبية شرعية. إنه مزيج من مواقع التصفح المخترقة مع دعم WIZVERA VeraPort وخيارات تكوين VeraPort المحددة التي تسمح للمهاجمين بتنفيذ هذا الهجوم بنجاح”.
أبحاث «إسيت» لديها مؤشرات قوية لإسناد الهجوم إلى Lazarus ، حيث إنه استمرار لما يطلق عليه KrCERT لعملية BookCodes، والمنسوبة إلى Lazarus من قبل البعض في مجتمع أبحاث الأمن السيبراني. ومن الأسباب الأخرى هي خصائص مجموعة الأدوات النموذجية التي تم الكشف عنها (تم بالفعل تمييز العديد من الأدوات – بواسطة «إسيت» – على أنها NukeSped).
وتجدر الإشارة إلى أن مجموعة أدوات Lazarus واسعة للغاية، وتعتقد «إسيت» أن هناك العديد من المجموعات الفرعية. على عكس مجموعات الأدوات التي تستخدمها بعض مجموعات مجرمي الإنترنت الاَخرين، لم يتم الكشف عن أي من الكود المصدري لأي من أدوات Lazarus بشكل عام.