أنشأت مجموعة Lazarus Group في كوريا الشمالية لعبة blockchain لاستغلال ثغرة أمنية في متصفح Google Chrome، وتثبيت برامج تجسس وسرقة بيانات اعتماد محفظة العملات المشفرة، إلى جانب بيانات المستخدم الأخرى.
وفي تقرير بتاريخ 23 أكتوبر، قال فاسيلي بيردنيكوفاند وبوريس لارين، المحللان في شركة الأمن السيبراني كاسبرسكي لاب، إنهما اكتشفا ثغرة Lazarus Group في مايو وأبلغا جوجل عنها، والتي أصلحت المشكلة منذ ذلك الحين.
وفقًا لبيردنيكوف ولارين، استخدم المتسللون في مجموعة Lazarus اللعبة لاستدراج المستخدمين إلى موقع ويب ضار وإصابة أجهزة الكمبيوتر بمخطوطة البرامج الضارة، والتي كانت تستخدمها منذ عام 2013 على الأقل.
سمح الرمز للمتسللين بإتلاف ذاكرة Chrome، مما منحهم في النهاية إمكانية الوصول إلى ملفات تعريف الارتباط الخاصة بالمستخدمين ورموز المصادقة وكلمات المرور المحفوظة وسجل التصفح – كل ما يحتاجونه لسرقة أموال المستخدم.
اكتشفت شركة Kaspersky Labs مؤامرة Lazarus Group في شهر مايو الماضي وأبلغت Google عنها على الفور. المصدر: مختبرات كاسبيرسكي
هناك مشكلة أخرى تتعلق بآلية أمان Javascript V8 Sandbox التي سمحت لـ Lazarus بالوصول إلى أجهزة الكمبيوتر للتحقق مما إذا كان الاستمرار في الهجوم السيبراني أمرًا يستحق العناء.
وقال بيردنيكوف ولارين: “لقد تمكنا من استخراج المرحلة الأولى من الهجوم، وهو استغلال ينفذ تعليمات برمجية عن بعد في عملية Google Chrome”.
“بعد التأكد من أن الاستغلال يعتمد على ثغرة أمنية يوم صفر تستهدف أحدث إصدار من Google Chrome، أبلغنا Google بالنتائج التي توصلنا إليها في نفس اليوم.”
وبعد يومين من علم جوجل بالثغرة، أصدرت تصحيحًا محدثًا لحل المشكلة.
كود المصدر المسروق المستخدم لإنشاء اللعبة
اللعبة نفسها، DeTankZone أو DeTankWar، كانت عبارة عن لعبة ساحة معركة متعددة اللاعبين عبر الإنترنت قابلة للعب بالكامل من أجل الربح مع دبابات غير قابلة للاستبدال (NFT). يمكن للاعبين قتال بعضهم البعض في المنافسة عبر الإنترنت.
قال بيردنيكوف ولارين إن لازاروس سرق كود المصدر من لعبة مشروعة أخرى وقام بالترويج للنسخة المقرصنة بشكل كبير على وسائل التواصل الاجتماعي.
تحتوي اللعبة المزيفة على موقع ويب وصور ترويجية تم إنشاؤها باستخدام الذكاء الاصطناعي.
قامت مجموعة Lazarus بسرقة الكود المصدري للعبة مشروعة لمساعدة المستخدمين على الوصول إلى موقع الويب باستخدام البرامج الضارة. المصدر مختبرات كاسبيرسكي
“على السطح، كان هذا الموقع يشبه صفحة منتج مصممة بشكل احترافي للعبة دبابات متعددة اللاعبين عبر الإنترنت (MOBA) للتمويل اللامركزي (DeFi) تعتمد على NFT (غير قابلة للاستبدال)، وتدعو المستخدمين إلى تنزيل نسخة تجريبية،” بيردنيكوف و قال لارين.
“لكن ذلك كان مجرد تمويه. تحت الغطاء، كان موقع الويب هذا يحتوي على برنامج نصي مخفي يتم تشغيله في متصفح Google Chrome الخاص بالمستخدم، مما يؤدي إلى إطلاق ثغرة يوم الصفر ومنح المهاجمين السيطرة الكاملة على جهاز الكمبيوتر الخاص بالضحية.
قام Microsoft Security أيضًا بوضع علامة على اللعبة في منشور مايو على X، مشيرًا إلى أن اللعبة الضارة DeTankWar كانت تقدم برامج فدية مخصصة جديدة أطلقت عليها Microsoft اسم FakePenny.
وقالت Microsoft Security: “لقد حددت Microsoft جهة تهديد كورية شمالية جديدة، Moonstone Sleet (Storm-1789)، التي تجمع بين العديد من التقنيات المجربة والحقيقية التي تستخدمها الجهات الفاعلة الأخرى في مجال التهديد في كوريا الشمالية مع منهجيات هجوم فريدة للأهداف المالية وأهداف التجسس عبر الإنترنت”.
“لوحظ أن Moonstone Sleet يقوم بإنشاء شركات مزيفة وفرص عمل للتعامل مع الأهداف المحتملة، واستخدام إصدارات طروادة من الأدوات المشروعة، وإنشاء لعبة ضارة تسمى DeTankWar، وتقديم برنامج فدية مخصص جديد أطلقت عليه Microsoft اسم FakePenny.”
تقدر خسائر مجموعة لازاروس بأكثر من 3 مليارات دولار
يمكن القول إن مجموعة Lazarus هي المجموعة الأكثر شهرة لقرصنة العملات المشفرة منذ ظهورها على الساحة في عام 2009. وقدرت شركة الأمن السيبراني الأمريكية Recorded Future في عام 2023 أن المتسللين الكوريين الشماليين سرقوا أكثر من 3 مليارات دولار من العملات المشفرة في السنوات الست التي سبقت عام 2023.
كما وجد تقرير للأمم المتحدة أن المتسللين الكوريين الشماليين سرقوا كمية كبيرة من الأصول المشفرة في عام 2022، بتقديرات تتراوح بين 630 مليون دولار وأكثر من مليار دولار، بعد أن بدأت المجموعات في استهداف شبكات شركات الطيران والدفاع الأجنبية.
يقدر مخبر Blockchain ZachXBT أن Lazarus قام بغسل أكثر من 200 مليون دولار من العملات المشفرة من 25 اختراقًا بين عامي 2020 و2023. وفي منشور بتاريخ 15 أغسطس على X، ادعى أيضًا أنه اكتشف أدلة على وجود شبكة متطورة من المطورين الكوريين الشماليين الذين يكسبون 500000 دولار شهريًا يعملون لصالح ” “مشاريع التشفير المنشأة.
وفي الوقت نفسه، اتهمت وزارة الخزانة الأمريكية أيضًا لازاروس بأنه الجاني الرئيسي وراء هجوم عام 2022 على جسر رونين، والذي حصد للقراصنة أكثر من 600 مليون دولار من العملات المشفرة.
