قراصنة من كوريا الشمالية يسرقون بيانات أجهزة ويندوز وأي هاتف يتصل بها
عثر باحثو شركة أمن المعلومات إسيت ESET على باب خلفي يرتبط بكوريا الشمالية ويمتاز بمجموعة واسعة من إمكانات التجسس لا تقتصر على الحاسوب الشخصي المستهدف، بل يمتد تأثيره إلى ما يتصل به من أجهزة محمولة أخرى.
ووفقًا للشركة، فإن الباب الخلفي قادر على مراقبة محركات الأقراص، والهواتف الذكية المتصلة بالحاسوب، واستخراج الملفات المهمة منها، وتسجيل نقرات لوحة المفاتيح، وأخذ لقطات للشاشة، وسرقة بيانات الاعتماد من المتصفحات.
وأوضح الباحثون أن للباب الخلفي، الذي أطلقوا عليه اسم الدولفين Dolphin، وظائف محددة الأهداف. وهو يُسيء استخدام خدمات التخزين السحابي، مثل: خدمة جوجل درايف تحديدًا، وذلك لأغراض الاتصال بالقيادة والتحكم.
ووفقًا للباحثين، فإن من يقف وراء الباب الخلفي Dolphin هو مجموعة التجسس ScarCruft، المعروفة أيضًا باسم APT37 أو Reaper، والتي تعمل منذ عام 2012 على أقل تقدير.
وذكر الباحثون أن المجموعة تركز عملها في المقام الأول على كوريا الجنوبية، ولكنها أيضًا استهدفت في السابق دولًا آسيوية أخرى. وهي مهتمة بالمؤسسات الحكومية والعسكرية، والشركات في مختلف الصناعات المرتبطة بمصالح كوريا الشمالية.
وأوضحت ESET أن الباب الخلفي Dolphin يبحث، بعد نشره على أهداف محددة، في أقراص الأنظمة المخترقة بحثًا عن ملفات مثيرة للاهتمام ويخرجها إلى جوجل درايف.
وقالت الشركة: “من بين الإمكانات غير العادية التي عُثر عليها في الإصدارات السابقة من الباب الخلفي هو القدرة على تعديل إعدادات حسابات الضحايا على جوجل وجيميل لخفض مستوى الأمان لديهم. ويُرجَّح أن يكون السبب للحفاظ على الوصول إلى حساب جيميل الخاص بجهات التهديد”.
وفي عام 2021، شنت مجموعة ScarCruft هجومًا على صحيفة إلكترونية في كوريا الجنوبية تركز نشاطها على كوريا الشمالية. وكان الهجوم مؤلفًا من مكونات متعددة، مثل: استغلال متصفح الويب إنترنت إكسبلورر من مايكروسوفت.
ومنذ الاكتشاف الأولي للباب الخلفي Dolphin في شهر نيسان/ أبريل 2021، لاحظ باحثو ESET إصدارات متعددة منه، حيث عمل المهاجمون على تحسين قدراته في محاولة منهم لتجنب الاكتشاف.
وقال الباحثون إن الباب الخلفي يمتاز بأنه يبحث بنشاط في محركات الأقراص ويُصفِّي تلقائيًا الملفات ذات الامتدادات المثيرة للاهتمام، ويجمع المعلومات الأساسية عن الجهاز المستهدف، ومن ذلك: إصدار نظام التشغيل، وقائمة منتجات الأمان المثبتة، واسم المستخدم، واسم الحاسوب.
وبصورة افتراضية، يبحث Dolphin في جميع محركات الأقراص الثابتة، مثل: HDD، و SSD، وغير الثابتة، مثل: أقراص التخزين الخارجية الموصولة عبر منفذ USB، ثم ينشئ قوائم أدلة، ويسحب الملفات حسب الامتداد. ويبحث الباب الخلفي أيضًا في الأجهزة المحمولة الموصولة بالحاسوب، مثل: الهواتف الذكية، وذلك عبر واجهة برمجة التطبيقات Windows Portable Device API.
ويسرق الباب الخلفي أيضًا بيانات الاعتماد من المتصفحات، وهو قادر على تسجيل نقرات لوحة المفاتيح وأخذ لقطات للشاشة. وأخيرًا، يُدرِج الباب الخلفي هذه البيانات في أرشيفات مضغوطة مشفرة قبل تحميلها إلى خدمة جوجل درايف.