كاسبرسكي تكشف عن حادثي أمن رقميين مرتبطين بلقاح كورونا
رصد باحثو كاسبرسكي في خريف 2020 واقعتين أمنيتين تقف وراءهما اثنتان من عصابات التهديدات المتقدمة المستمرة، استهدفتا جهتين مرتبطتين بالأبحاث الخاصة بتطوير لقاح لفيروس كورونا المستجد؛ هيئة تابعة لإحدى وزارات الصحة، وشركة للمستحضرات الصيدلانية. وأبدى خبراء كاسبرسكي مستوىً عاليًا من الثقة في نسبة الأنشطة التخريبية إلى عصابة Lazarus سيئة السمعة.
وفي ضوء المساعي التي تبذلها العديد من الأطراف المعنية بمكافحة الجائحة حول العالم لتسريع تطوير اللقاحات وتوزيعها بكل الوسائل المتاحة، يبرز جانب مظلم يتمثل بمحاولة بعض الجهات التخريبية استغلال الأمر لتحقيق مكاسب خاصة.
وواصل خبراء كاسبرسكي تتبّع الحملات التي تستهدف مختلف القطاعات، واكتشفوا أن عصابة Lazarus لاحقت جهات مرتبطة بمكافحة الجائحة قبل شهرين فقط، واستطاعوا رصد حادثتين أمنيتين محدّدتين.
وتمثلت الحادثة الأولى في شنّ هجوم على هيئة تابعة لإحدى وزارات الصحة، حيث جرى في يوم 27 أكتوبر الماضي اختراق خادمين عاملين بالنظام "ويندوز" ببرمجيات خبيثة متطورة، معروفة لدى كاسبرسكي بالاسم wAgent.
وأظهر تحليل دقيق أن هذه البرمجية لديها مخطط إصابة مماثل للمخططات التي استخدمتها عصابة Lazarus سابقًا في هجمات شنتها على شركات عاملة في مجال العملات الرقمية.
وجرى في الحادثة الثانية استهداف شركة للمستحضرات الصيدلانية في 25 سبتمبر الماضي، وفق ما أظهرت أدوات القياس الخاصة بكاسبرسكي. وتعمل الشركة المستهدفة على تطوير لقاح لفيروس كورونا وتملك التصاريح اللازمة لإنتاجه وتوزيعه.
واستخدم المهاجمون هذه المرة البرمجية الخبيثة Bookcode، التي أبلغت كاسبرسكي سابقًا عن ارتباطها بعصابة Lazarus، في هجوم على سلاسل توريد عبر شركة برمجيات كورية جنوبية.
شهد باحثو كاسبرسكي أيضًا قيام عصابة Lazarus في السابق بعملية تصيّد موجّه أو اختراق استراتيجي لمواقع ويب لتوزيع برمجية Bookcode.
وتتسم البرمجيتان الخبيثتان wAgent وBookcode بتشابه الوظائف، مثل المنفذ الخلفي المتكامل، إذ يمكن لمشغل البرمجيات الخبيثة التحكّم في جهاز الضحية بالطريقة التي يريدها تقريبًا.
العلاقة بين الهجومين وLazarus
ونظرًا للتداخلات الملحوظة، يُظهر باحثو كاسبرسكي ثقة عالية في تأكيد ارتباط كلا الحادثين بعصابة Lazarus، علمًا بأن التحقيق فيهما لا يزال جاريًا.
وأشار سيونغسو بارك الخبير الأمني لدى كاسبرسكي، إلى أن هذين الحادثين يكشفان عن اهتمام العصابة بالمعلومات المتعلقة بالجائحة، بالرغم من اهتمامها في الغالب بالأنشطة المالية، معتبرًا ذلك تذكيرًا بقدرتها على إجراء أبحاث في شؤون استراتيجية.
ودعا الخبيرالأمني جميع الجهات المشاركة حاليًا في أنشطة تتعلّق بمكافحة الجائحة، مثل أبحاث اللقاحات أو التعامل مع تبعات الأزمات، إلى أن "تظلّ في حالة تأهب قصوى تحسّبًا للهجمات الرقمية".
وتستطيع منتجات كاسبرسكي الكشف عن البرمجيات الخبيثة wAgent، وتعرّفها بالاسم HEUR:Trojan.Win32.Manuscrypt.gen والاسم Trojan.Win64.Manuscrypt.bx. في حين يجري تعريف البرمجية الخبيثة Bookcode بالاسم Trojan.Win64.Manuscrypt.ce.
وفي ضوء المساعي التي تبذلها العديد من الأطراف المعنية بمكافحة الجائحة حول العالم لتسريع تطوير اللقاحات وتوزيعها بكل الوسائل المتاحة، يبرز جانب مظلم يتمثل بمحاولة بعض الجهات التخريبية استغلال الأمر لتحقيق مكاسب خاصة.
وواصل خبراء كاسبرسكي تتبّع الحملات التي تستهدف مختلف القطاعات، واكتشفوا أن عصابة Lazarus لاحقت جهات مرتبطة بمكافحة الجائحة قبل شهرين فقط، واستطاعوا رصد حادثتين أمنيتين محدّدتين.
وتمثلت الحادثة الأولى في شنّ هجوم على هيئة تابعة لإحدى وزارات الصحة، حيث جرى في يوم 27 أكتوبر الماضي اختراق خادمين عاملين بالنظام "ويندوز" ببرمجيات خبيثة متطورة، معروفة لدى كاسبرسكي بالاسم wAgent.
وأظهر تحليل دقيق أن هذه البرمجية لديها مخطط إصابة مماثل للمخططات التي استخدمتها عصابة Lazarus سابقًا في هجمات شنتها على شركات عاملة في مجال العملات الرقمية.
وجرى في الحادثة الثانية استهداف شركة للمستحضرات الصيدلانية في 25 سبتمبر الماضي، وفق ما أظهرت أدوات القياس الخاصة بكاسبرسكي. وتعمل الشركة المستهدفة على تطوير لقاح لفيروس كورونا وتملك التصاريح اللازمة لإنتاجه وتوزيعه.
واستخدم المهاجمون هذه المرة البرمجية الخبيثة Bookcode، التي أبلغت كاسبرسكي سابقًا عن ارتباطها بعصابة Lazarus، في هجوم على سلاسل توريد عبر شركة برمجيات كورية جنوبية.
شهد باحثو كاسبرسكي أيضًا قيام عصابة Lazarus في السابق بعملية تصيّد موجّه أو اختراق استراتيجي لمواقع ويب لتوزيع برمجية Bookcode.
وتتسم البرمجيتان الخبيثتان wAgent وBookcode بتشابه الوظائف، مثل المنفذ الخلفي المتكامل، إذ يمكن لمشغل البرمجيات الخبيثة التحكّم في جهاز الضحية بالطريقة التي يريدها تقريبًا.
العلاقة بين الهجومين وLazarus
ونظرًا للتداخلات الملحوظة، يُظهر باحثو كاسبرسكي ثقة عالية في تأكيد ارتباط كلا الحادثين بعصابة Lazarus، علمًا بأن التحقيق فيهما لا يزال جاريًا.
وأشار سيونغسو بارك الخبير الأمني لدى كاسبرسكي، إلى أن هذين الحادثين يكشفان عن اهتمام العصابة بالمعلومات المتعلقة بالجائحة، بالرغم من اهتمامها في الغالب بالأنشطة المالية، معتبرًا ذلك تذكيرًا بقدرتها على إجراء أبحاث في شؤون استراتيجية.
ودعا الخبيرالأمني جميع الجهات المشاركة حاليًا في أنشطة تتعلّق بمكافحة الجائحة، مثل أبحاث اللقاحات أو التعامل مع تبعات الأزمات، إلى أن "تظلّ في حالة تأهب قصوى تحسّبًا للهجمات الرقمية".
وتستطيع منتجات كاسبرسكي الكشف عن البرمجيات الخبيثة wAgent، وتعرّفها بالاسم HEUR:Trojan.Win32.Manuscrypt.gen والاسم Trojan.Win64.Manuscrypt.bx. في حين يجري تعريف البرمجية الخبيثة Bookcode بالاسم Trojan.Win64.Manuscrypt.ce.