سلسلة توريد البرمجيات أصبحت الهجمات ، التي يقوم فيها المتسللون بإفساد التطبيقات المستخدمة على نطاق واسع لدفع التعليمات البرمجية الخاصة بهم إلى آلاف أو حتى ملايين الأجهزة ، كارثة للأمن السيبراني ، سواء كانت خبيثة وربما ضخمة في نطاق تأثيرها. لكن أحدث هجوم رئيسي على سلسلة إمداد البرامج ، حيث قام المتسللون الذين يبدو أنهم يعملون نيابة عن حكومة كوريا الشمالية بإخفاء التعليمات البرمجية الخاصة بهم في برنامج التثبيت لتطبيق VoIP مشترك يُعرف باسم 3CX ، يبدو أنه حتى الآن لديه هدف مبتذل: الاقتحام حفنة من شركات العملات المشفرة.
كشف باحثون في شركة الأمن السيبراني الروسية Kaspersky اليوم أنهم حددوا عددًا صغيرًا من الشركات التي تركز على العملات المشفرة على أنها على الأقل بعض ضحايا هجوم سلسلة توريد برمجيات 3CX الذي تم الكشف عنه خلال الأسبوع الماضي. رفضت Kaspersky تسمية أي من تلك الشركات الضحية ، لكنها أشارت إلى أن مقرها يقع في “غرب آسيا”.
قامت شركتا الأمن CrowdStrike و Sentinel One الأسبوع الماضي بتثبيت العملية على المتسللين الكوريين الشماليين ، الذين اخترقوا برنامج تثبيت 3CX الذي تستخدمه 600000 منظمة في جميع أنحاء العالم ، وفقًا للبائع. على الرغم من النطاق الهائل المحتمل لهذا الهجوم ، والذي أطلق عليه SentinelOne اسم “Smooth Operator” ، وجدت Kaspersky الآن أن المتسللين قاموا بتمشيط الضحايا المصابين ببرنامجها التالف لاستهداف أقل من 10 أجهزة في نهاية المطاف – على الأقل بقدر ما يمكن لـ Kaspersky أن يلاحظ ذلك. . بعيدًا – ويبدو أنهم يركزون على شركات العملات المشفرة “بدقة فائقة”.
يقول جورجي كوتشرين ، الباحث في فريق GReAT من محللي الأمن في Kaspersky: “كان هذا كله فقط للتنازل عن مجموعة صغيرة من الشركات ، ربما ليس فقط في مجال العملات المشفرة ، ولكن ما نراه هو أن إحدى اهتمامات المهاجمين هي شركات العملات المشفرة”. . . “يجب أن تهتم شركات Cryptocurrency بشكل خاص بهذا الهجوم لأنها أهداف محتملة ، ويجب عليهم فحص أنظمتهم للحصول على مزيد من التسوية.”
استندت Kaspersky في هذا الاستنتاج إلى اكتشاف أنه ، في بعض الحالات ، استخدم قراصنة سلسلة التوريد 3CX هجومهم لزرع برنامج خلفي متعدد الاستخدامات يُعرف باسم Gopuram على أجهزة الضحايا ، والذي وصفه الباحثون بأنه “الحمولة النهائية في سلسلة الهجوم”. يقول Kaspersky إن ظهور هذا البرنامج الضار يمثل أيضًا بصمة كورية شمالية: لقد شوهد استخدام Gopuram من قبل على نفس الشبكة مثل قطعة أخرى من البرامج الضارة ، المعروفة باسم AppleJeus ، مرتبطة بقراصنة كوريين شماليين. كما رأينا سابقًا اتصال Gopuram بنفس البنية التحتية للقيادة والتحكم مثل AppleJeus ، وشاهدت Gopuram تستخدم سابقًا لاستهداف شركات العملة المشفرة. كل هذا يشير ليس فقط إلى أن هجوم 3CX قد تم تنفيذه من قبل قراصنة كوريين شماليين ، ولكن ربما كان يهدف إلى اختراق شركات العملات المشفرة من أجل السرقة من تلك الشركات ، وهو تكتيك شائع للمتسللين الكوريين الشماليين الذين أمروا بجمع الأموال لصالح الشركة. نظام كيم جونغ أون.
أصبح المتسللون الذين يستغلون سلسلة توريد البرمجيات للوصول إلى شبكات عدة آلاف من المنظمات ، فقط لتقصير استهدافهم لعدد قليل من الضحايا ، موضوعًا متكررًا للمتسللين المتطورين الذين ترعاهم الدولة. على سبيل المثال ، في حملة تجسس Solar Winds الشهيرة في عام 2020 ، اخترق المتسللون الروس برنامج Orion لمراقبة تكنولوجيا المعلومات لدفع التحديثات الضارة إلى حوالي 18000 ضحية ، ولكن يُعتقد أنهم استهدفوا بضع عشرات منهم فقط بسرقة بيانات فعلية لأغراض التجسس. في حل سلسلة التوريد السابقة لبرنامج CCleaner ، قامت مجموعة القراصنة الصينية المعروفة باسم Barium أو WickedPanda باختراق ما يصل إلى 700000 جهاز كمبيوتر ، ولكنها اختارت بالمثل استهداف قائمة قصيرة نسبيًا من شركات التكنولوجيا.
