تخريب صامت: قراصنة كوريا الشمالية يخترقون حصون الشبكات المعزولة بأحدث البرمجيات الخبيثة

أحدث هجوم سيبراني لـ APT37 يخترق شبكات يُفترض أنها منيعة باستخدام مجموعة أدوات جديدة متطورة.

في تصعيد مخيف لحرب الفضاء السيبراني، تمكن قراصنة مدعومون من الدولة في كوريا الشمالية من تجاوز الخندق الرقمي: فقد اخترقت سلالة جديدة من برمجياتهم الخبيثة شبكات معزولة عن الإنترنت (Air-Gapped) - تلك التي تكون مفصولة مادياً عن الشبكة العالمية وطالما عُدّت من أكثر البيئات أماناً في العالم. الجهة المسؤولة، APT37 (المعروفة أيضاً باسم ScarCruft)، رفعت سقف التجسس السيبراني العالمي، تاركة خبراء الأمن بين القلق والانبهار بما عُرض من براعة تقنية.

حقائق سريعة

APT37 مجموعة تجسس سيبراني كورية شمالية نشطة منذ عام 2012 على الأقل.
تستهدف البرمجية الخبيثة الجديدة للمجموعة الشبكات المعزولة عن الإنترنت، التي تفتقر إلى اتصالات مباشرة بالإنترنت.
يستخدم المهاجمون وسائط قابلة للإزالة (محركات USB) لردم الفجوة المادية وتهريب البيانات إلى الخارج.
تستخدم البرمجية الخبيثة تقنيات مراوغة متقدمة لتجنب اكتشافها بواسطة برامج الأمن.
يُعتقد أن الضحايا يشملون جهات عسكرية وحكومية ومقاولي دفاع في كوريا الجنوبية وخارجها.

تشريح الاختراق

لسنوات، كانت الشبكات المعزولة عن الإنترنت بمثابة قلعة رقمية - منعزلة، محصّنة، ومحصّنة ضد معظم أشكال الهجوم عن بُعد. ومع ذلك، تُظهر أحدث حملة تُنسب إلى APT37 أن لا دفاع مطلق. ووفقاً لباحثي الأمن السيبراني، تُسلَّم البرمجية الخبيثة الجديدة للمجموعة عبر محركات USB مخترقة، والتي تُستخدم غالباً لنقل الملفات بين الأنظمة الآمنة وغير الآمنة.

ما إن تُوصَل بجهاز ضمن شبكة معزولة، حتى تبدأ البرمجية الخبيثة عملها: تمسح بحثاً عن الملفات الحساسة، وتجمع بيانات الاعتماد، وتترقب الفرصة التالية للعودة إلى العالم الخارجي - عادةً عندما يُعاد توصيل محرك USB بجهاز متصل بالإنترنت. هذا الأسلوب المعروف بـ«السنيكرنت» منخفض التقنية في طريقة الإيصال لكنه عالي التقنية في التنفيذ. وقد صُممت البرمجية لتفادي اكتشاف مضادات الفيروسات عبر إخفاء وجودها واستخدام حمولات مشفرة.

يشير خبراء الأمن إلى أن هذه ليست المرة الأولى التي تستهدف فيها جهات فاعلة على مستوى الدول شبكات معزولة عن الإنترنت (وتتبادر إلى الذهن دودة Stuxnet سيئة الصيت)، لكن نهج APT37 لافت لقدرته على التخفي والاستمرارية وقابلية التكيف. ويبدو أن الحملة تركز على سرقة أسرار عسكرية واختراق بنى تحتية حرجة، مع تركيز خاص على أهداف في كوريا الجنوبية. ويحذر محللون من أن التقنيات التي جرى ابتكارها هنا قد تُستنسخ قريباً من قبل مجموعات تهديد أخرى.

التداعيات والتصعيد

يثير نجاح هذه العملية أسئلة ملحّة حول كفاية بروتوكولات الأمن الحالية. فالمنظمات التي تعتمد على العزل عن الإنترنت كحل سحري تواجه الآن حقيقة مُرّة مفادها أن الخطأ البشري - مثل موظف ينقل ملفات دون قصد - قد يقوض حتى أقوى الدفاعات. وتحث شركات الأمن السيبراني عملاءها على تطبيق ضوابط أكثر صرامة على الوسائط القابلة للإزالة، وتعزيز تدريب الموظفين، ونشر أدوات مراقبة متقدمة لرصد النشاط المشبوه.

الخلاصة

مع تغيّر خطوط المواجهة الرقمية وازدياد جرأة الخصوم، تتلاشى بسرعة أسطورة الشبكة التي لا تُخترق. إن أحدث حملة لـ APT37 هي جرس إنذار: في عالم التجسس السيبراني عالي المخاطر، الابتكار لا يهدأ، والرضا عن النفس قد يكون كارثياً.

WIKICROOK

APT (التهديد المتقدم المستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالباً بدعم من دول، بهدف سرقة البيانات أو تعطيل العمليات.
Air: البيئة المعزولة عن الإنترنت هي حاسوب أو شبكة معزولة مادياً، غير متصلة بالشبكات غير الآمنة لحماية البيانات الحساسة من التهديدات السيبرانية.
Exfiltration: تهريب البيانات هو النقل غير المصرح به للبيانات الحساسة من شبكة الضحية إلى نظام خارجي يسيطر عليه المهاجمون.
Payload: الحمولة هي الجزء الضار من الهجوم السيبراني، مثل فيروس أو برنامج تجسس، يُسلَّم عبر رسائل بريد خبيثة أو ملفات عندما يتفاعل الضحية معها.
Removable media: الوسائط القابلة للإزالة هي أجهزة تخزين محمولة، مثل محركات USB، تُستخدم لنقل البيانات بين الحواسيب، لكنها قد تُدخل مخاطر على الأمن السيبراني.