وتدير كوريا الشمالية واحدة من أكثر العمليات السيبرانية عدوانية في العالم. بدءًا من سرقة العملات المشفرة بمليارات الدولارات وحتى التنازلات البارزة في سلسلة التوريد، يقوم مشغلوها المدعومين من الدولة بمهاجمة فرق الأمن بمزيج قوي من التجسس والجرائم المالية والحملات التدميرية.
يقع أمثال لازاروس وكيمسوكي في قلب النظام البيئي لكوريا الديمقراطية. وهم لا يظهرون أي رحمة – حيث يستهدفون أي شخص بدءًا من الشركات الناشئة إلى المؤسسات الحكومية والبنية التحتية الحيوية لتكنولوجيا المعلومات – سعيًا وراء الإيرادات والاستخبارات والنفوذ الاستراتيجي.
كبير مسؤولي أمن المعلومات في شركة Acronis.
إن الضغط المستمر الذي تمارسه هذه المجموعات قد ساهم في تشكيل كيفية دفاع المنظمات عن نفسها. حتى الآن، كان قواعد اللعبة تفاعلية إلى حد كبير وتتمحور حول البرامج الضارة.
يستمر المقال أدناه
تركز الفرق الزرقاء جهودها على تشريح الحمولات وعينات الهندسة العكسية والسباق لاكتشاف البديل التالي. لكن الأبحاث الجديدة حول نشاط كوريا الشمالية تشير إلى أن المدافعين ربما يتتبعون الإشارة الخاطئة.
في الواقع، إحدى الطرق الأكثر موثوقية لتتبع هؤلاء الفاعلين هي من خلال البنية التحتية التي يتركونها وراءهم.
النقطة العمياء في الدفاع الحديث
تستثمر العديد من المؤسسات بكثافة في حماية نقطة النهاية واكتشاف البرامج الضارة، وهو أمر ضروري لدرء التهديدات الوشيكة. ومع ذلك، يتم إيلاء اهتمام أقل بكثير للقياس عن بعد على مستوى البنية التحتية.
هذا التحليل العميق، الذي يمكن أن يسلط الضوء على السلوكيات التشغيلية المتسقة، هو ما تفتقده العديد من فرق الأمن.
بدأ تحقيق مشترك أجرته وحدة أبحاث التهديدات في Acronis وHunt.io في رسم خريطة للبنية التحتية الجارية في كوريا الديمقراطية. لقد كشفت عن حملات ربط مستمرة لإعادة استخدام البنية التحتية مع مرور الوقت: شهادات مشتركة تغطي اثني عشر عنوان IP، وعقد أنفاق متطابقة للوكيل العكسي السريع (FRP) منتشرة عبر مضيفين متعددين، وخوادم مرحلية مكشوفة تستضيف غيغابايت من الأدوات التشغيلية.
لماذا يهم هذا؟
تم تصميم الحمولات بحيث تتحور وتتجنب الاكتشاف القائم على التوقيع. وعلى النقيض من ذلك، تعكس البنية التحتية العادات – التكوينات القابلة للتكرار، وعمليات النشر النموذجية، وقنوات الاتصال المعاد استخدامها والتي تستمر عبر الحملات.
حتى برامج أمن الإنترنت الناضجة غالبًا ما تركز استراتيجيات الاستجابة حول تحليل الحمولة وفرز التنبيهات، مما قد يترك نشاط الإعداد غير مرئي حتى يتم تنفيذ عملية الاقتحام. قد يفسر هذا سبب استمرار مشغلي كوريا الديمقراطية في إعادة استخدام البنية التحتية لسنوات، حتى بعد حوادث سلسلة التوريد الكبرى.
تعرض الدلائل المفتوحة التدريج التشغيلي
لنأخذ على سبيل المثال أدلة HTTP المكشوفة. أثناء التحقيق، وجد الباحثون مرارًا وتكرارًا خوادم تستضيف مجموعات أدوات منظمة تتضمن أدوات مساعدة لجمع بيانات الاعتماد، وأدوات الوصول عن بعد، وثنائيات الترشيح، ومكونات الأنفاق.
وفي إحدى الحالات، احتوت البيئة المكشوفة على آلاف الملفات وما يقرب من 2 غيغابايت من الأدوات التشغيلية. لقد كان يشبه مساحة عمل المشغل المباشر وليس موقعًا بسيطًا لإسقاط البرامج الضارة. من الناحية العملية، لم يكن الأمر أشبه باكتشاف ملف ضار واحد، بل أشبه بالتعثر في مجموعة أدوات نشطة لكوريا الديمقراطية في منتصف العملية.
يوضح هذا الاكتشاف كيفية تحسين مشغلي كوريا الديمقراطية للسرعة. تعمل الأدلة المفتوحة على تقليل الاحتكاك وتسمح للمهاجمين باسترداد الأدوات بسرعة أثناء عملية التطفل دون الحفاظ على بنية تحتية معقدة للتسليم.
كما يظهر النضج التشغيلي. إذا كان المهاجمون مرتاحين لأدوات التدريج على هذا النطاق، فهذا يشير إلى التركيز على الكفاءة والتكرار – وأنهم لا يتوقعون أن يقوم المدافعون بمراقبة هذه البيئات باستمرار.
توضح البنية التحتية للأنفاق كيفية توسيع نطاق الحملات
توفر البنية التحتية للأنفاق أحد أوضح الأمثلة على إعادة استخدام البنية التحتية في الممارسة العملية.
في التحقيق المشترك، حدد الباحثون ثماني عقد متطابقة للوكيل العكسي السريع (FRP) تعمل على نفس المنفذ عبر مضيفين مختلفين. يُستخدم FRP بشكل شائع لإنشاء أنفاق عكسية تسمح للمشغلين بالحفاظ على الوصول إلى الأنظمة المخترقة، حتى عندما تكون الاتصالات الواردة مقيدة. يشير العثور على نفس التكوين المنسوخ عبر خوادم متعددة إلى النشر النموذجي بدلاً من الإعداد المخصص.
والخبر السار هو أنه عندما يتم توفير عقد الأنفاق بنفس الطريقة عبر الحملات، فإنها تنشئ عناصر يمكن التنبؤ بها ويمكن للمدافعين تتبعها. حتى لو تم تدوير النطاقات وتطورت عائلات البرامج الضارة، فقد تظل طبقة الوصول الأساسية متسقة.
في حالة البنية التحتية لجمهورية كوريا الشعبية الديمقراطية، تشير القابلية للتكرار إلى الكفاءة التشغيلية – ولكنها توفر أيضًا للمدافعين إشارة صيد أكثر استدامة من أي ثنائي خبيث منفرد.
البنية التحتية هي النسيج الضام
ومن خلال أربع عمليات صيد منفصلة، استمرت نفس الأنماط في الظهور. أدلة التدريج المكشوفة مليئة بأدوات سرقة بيانات الاعتماد. تم تكوين أنفاق Fast Reverse Proxy بشكل مماثل عبر مضيفي VPS المختلفين. شهادات مُعاد استخدامها تربط اثني عشر عنوان IP بنفس المجموعات التشغيلية.
ولم تكن هذه اكتشافات معزولة. لقد كانت عناصر متكررة في النظام البيئي المنظم.
ولهذا السبب من المهم جدًا أن ننظر بشكل أعمق. بمجرد أن ينتقل المحور من الحمولات إلى البنية التحتية، يصبح الفصل بين المجموعات الفرعية لكوريا الديمقراطية أقل وضوحًا وتبدأ العادات التشغيلية المشتركة في الظهور. تبدأ الحملات التي تبدو غير مرتبطة على مستوى البرامج الضارة في الكشف عن شهادات مشتركة، مما يوضح كيف أن النشاط الذي يتم التعامل معه غالبًا على أنه منفصل هو في الواقع مرتبط بشكل وثيق.
لقد تطور الأمن التشغيلي بين مشغلي الإنترنت في جمهورية كوريا الشعبية الديمقراطية بشكل غير متساو على مدى العقد الماضي، مما يكشف عن مقايضة بين التخفي والكفاءة التشغيلية. تميزت حملات لازاروس المبكرة في منتصف عام 2010 ببنية تحتية صاخبة نسبيًا وبرامج ضارة مخصصة، مما جعل الإسناد ممكنًا ولكنه غالبًا ما يكون بطيئًا ويعتمد على تحليل الحمولة والطب الشرعي من جانب الضحية.
ومع زيادة التدقيق العالمي في أعقاب الحوادث البارزة، تكيفت الجهات الفاعلة في جمهورية كوريا الشعبية الديمقراطية من خلال تشديد البرمجيات الخبيثة، واعتماد التشويش الطبقي، وإساءة استخدام المنصات المشروعة والأدوات مفتوحة المصدر بشكل متزايد للاندماج في حركة المرور العادية. في الوقت نفسه، تشير التحقيقات المتكررة إلى ضعف مستمر في البنية التحتية لـ OPSEC: خوادم مرحلية طويلة العمر، وشهادات مُعاد استخدامها، وعقد نفق Fast Reverse Proxy المتطابقة، والأدلة المكشوفة التي تظهر مرة أخرى عبر الحملات وحتى عبر المجموعات الفرعية مثل Lazarus وKimsuky.
وتسلط حوادث مثل تسرب كيمسوكي “كيم” الضوء على هذا الاختلال في التوازن، حيث تم تقويض عمليات الهندسة الاجتماعية المتطورة وسرقة بيانات الاعتماد من خلال المصنوعات اليدوية التي يمكن استردادها من قبل المشغلين والبنية التحتية المجزأة بشكل سيء.
مجتمعة، يشير سجل العقد الماضي إلى أن الجهات الفاعلة في جمهورية كوريا الشعبية الديمقراطية أصبحت أكثر انضباطًا في طبقة الحمولة والتسلل، لكنها تظل مكشوفة باستمرار في طبقة البنية التحتية، مما يمنح المدافعين ميزة دائمة تمتد على مدى الحملة.
سوف تستمر البرامج الضارة في التطور. سوف تتغير السحر. سوف تدور المجالات. ومع ذلك، فإن البنية التحتية تترك أنماطًا متسقة. في حالة Lazarus وKimsuky وما بعدهما، تتيح هذه الأنماط ربط الأنشطة والمجموعات المرتبطة بها وتحديد البنية التحتية الداعمة قبل تسليحها بالكامل.
ولهذا السبب لم يعد البحث عن البنية التحتية مجالًا داعمًا. إنها نقطة المراقبة التي تسمح للمدافعين برؤية كيفية بناء العمليات واستدامتها وتوسيع نطاقها.
لقد قمنا بمراجعة وتقييم أفضل برامج مكافحة الفيروسات.
التعليقات