Arab News Agency

نجح مشغلو مجموعة Lazarus المرتبطة بكوريا الشمالية في العام الماضي في الوصول إلى شبكة الشركة بعد نجاحهم في تنفيذ هجوم ناجح على التصيّد باستخدام هوية مزورة تحت مظلة متخصص في توظيف الشركة لـ Meta ، والتي تمتلك منصات مثل Facebook وInstagram وWhatsApp. وتم تسجيل الهجوم في النهاية كنشاط تجسس سيبراني.

تواصلت الشخصية المزيفة لمتخصص التوظيف مع الضحية من خلال ميزة الرسائل على LinkedIn ، والتي تقدمها منصة LinkedIn الاجتماعية المهنية. وقد أُرسلت اثنتان من اختبارات البرمجة التي قيل إنها ضرورية كجزء من عملية التوظيف. بفضل التعاون مع الشركة المتضررة في قطاع الطيران والفضاء، تمكنت ESET Research من تحليل مجموعة الأدوات المستخدمة من قبل Lazarus بما في ذلك الوصول الأولي إلى النظام. واستهدفت المجموعة عدة موظفين في الشركة.

قامت مجموعة Lazarus بإرسال عدة أحمال بيانات إلى أنظمة الضحايا. من بين هذه الأحمال البيانية الأهم هو برنامج التجسس عن بعد المعقد المعروف باسم LightlessCan والذي لم يتم توثيقه مسبقًا. يقوم هذا البرنامج بتقليد وظائف متنوعة لأوامر Windows المحلية وعادة ما يتم استغلاله من قبل الهجاجين لتنفيذ أوامر خفية داخلية في مكان الهجوم بدلاً من إجراءات واجهة المستخدم الصاخبة. هذا التغيير الاستراتيجي يجعل من الصعب اكتشاف وتحليل أنشطة الهجوم وتعزيز خصوصيته.

قال باحث ESET الذي كشف عن الهجوم، بيتر كالناي: "أكثر ما يقلق في هذا الهجوم هو القدرة على التقدم المهم الذي أظهرته الأداة الجديدة من نوع LightlessCan، والتي تمتاز بتصميم ووظائف متقدمة على الأرجح مقارنة بسابقتها BlindingCan والتي لم يتم الإبلاغ عنها مسبقًا".

يُعتقد أن مجموعة الجاسوسية السيبرانية المرتبطة بكوريا الشمالية والمعروفة أيضًا باسم HIDDEN COBRA نشطة منذ عام 2009. تتميز مجموعة Lazarus بثلاث ملامح رئيسية لأنشطتها الجريمية عبر الإنترنت وهي التجسس والتخريب والرغبة في تحقيق مكاسب مالية. وتُعتبر شركات الطيران والفضاء من أهداف معتادة لمجموعات الجاسوسية المرتبطة بكوريا الشمالية.