الجهات الفاعلة الحكومية في كوريا الشمالية تنشر برامج الفدية الجراحية في الهجمات الإلكترونية المستمرة على مؤسسات الرعاية الصحية الأمريكية PlatoBlockchain Data Intelligence. البحث العمودي. عاي.

الجهات الفاعلة الحكومية في كوريا الشمالية تنشر برامج الفدية الجراحية في الهجمات الإلكترونية المستمرة على مؤسسات الرعاية الصحية الأمريكية

الطابع الزمني: 6 تموز (يوليو) 2022 الساعة 5:08 مساءً

حذر مكتب التحقيقات الفيدرالي (FBI) والوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) ووزارة الخزانة يوم الأربعاء من جهات التهديد التي ترعاها الدولة في كوريا الشمالية والتي تستهدف المنظمات في قطاعي الرعاية الصحية والصحة العامة في الولايات المتحدة. يتم تنفيذ الهجمات باستخدام أداة فدية جديدة غير عادية إلى حد ما، يتم تشغيلها يدويًا تسمى "Maui".

منذ مايو 2021، وقعت عدة حوادث حيث قامت الجهات الفاعلة في مجال التهديد التي تقوم بتشغيل البرامج الضارة بتشفير الخوادم المسؤولة عن خدمات الرعاية الصحية الحيوية، بما في ذلك خدمات التشخيص وخوادم السجلات الصحية الإلكترونية وخوادم التصوير في المؤسسات في القطاعات المستهدفة. وقالت الوكالات الثلاث في تقرير استشاري، إنه في بعض الحالات، أدت هجمات ماوي إلى تعطيل الخدمات في المنظمات المتضررة لفترة طويلة.

"من المحتمل أن تفترض الجهات الفاعلة السيبرانية التي ترعاها الدولة في كوريا الشمالية أن مؤسسات الرعاية الصحية مستعدة لدفع فدية لأن هذه المنظمات تقدم خدمات ضرورية لحياة الإنسان وصحته،" وفقًا للاستشارة. "وبسبب هذا الافتراض، يقوم مكتب التحقيقات الفيدرالي وCISA ووزارة الخزانة بتقييم الجهات الفاعلة التي ترعاها الدولة في كوريا الشمالية ومن المرجح أن يستمر الاستهداف [الرعاية الصحية والصحة العامة] منظمات القطاع."

مصممة للتشغيل اليدوي

في تحليل فني بتاريخ 6 يوليو، وصفت شركة Stairwell الأمنية برنامج Maui بأنه برنامج فدية يتميز بافتقاره إلى الميزات الموجودة عادةً في أدوات برامج الفدية الأخرى. ماوي، على سبيل المثال، لا تملك مذكرة الفدية المضمنة المعتادة التي تحتوي على معلومات للضحايا حول كيفية استعادة بياناتهم. ولا يبدو أيضًا أنه يحتوي على أي وظيفة مدمجة لنقل مفاتيح التشفير إلى المتسللين بطريقة آلية.

البرمجيات الخبيثة بدلا من ذلك يبدو مصممًا للتنفيذ اليدويحيث يتفاعل مهاجم عن بعد مع Maui عبر واجهة سطر الأوامر ويطلب منه تشفير الملفات المحددة على الجهاز المصاب وإخراج المفاتيح مرة أخرى إلى المهاجم. 

وقالت Stairwell إن باحثيها لاحظوا قيام Maui بتشفير الملفات باستخدام مزيج من أنظمة التشفير AES وRSA وXOR. يتم تشفير كل ملف محدد أولاً باستخدام AES بمفتاح فريد مكون من 16 بايت. يقوم Maui بعد ذلك بتشفير كل مفتاح AES الناتج بتشفير RSA، ثم يقوم بتشفير مفتاح RSA العام باستخدام XOR. ويتم تشفير مفتاح RSA الخاص باستخدام مفتاح عام مضمن في البرنامج الضار نفسه.

يقول سيلاس كاتلر، المهندس العكسي الرئيسي في Stairwell، إن تصميم سير عمل تشفير الملفات في Maui يتوافق إلى حد ما مع عائلات برامج الفدية الحديثة الأخرى. الأمر المختلف حقًا هو عدم وجود مذكرة فدية. 

يقول كاتلر: "إن عدم وجود مذكرة فدية مضمنة مع تعليمات الاسترداد هي سمة أساسية مفقودة تميزها عن عائلات برامج الفدية الأخرى". "أصبحت ملاحظات الفدية بمثابة بطاقات اتصال لبعض مجموعات برامج الفدية الكبيرة [وهي] مزينة أحيانًا بعلامتها التجارية الخاصة." ويقول إن Stairwell لا يزال يحقق في كيفية تواصل جهة التهديد مع الضحايا وما هي المتطلبات التي يتم تقديمها بالضبط.

يقول الباحثون الأمنيون إن هناك عدة أسباب وراء قرار جهة التهديد بسلوك الطريق اليدوي مع ماوي. يقول تيم ماكجوفين، مدير هندسة الخصومة في شركة Lares Consulting، إن البرامج الضارة التي يتم تشغيلها يدويًا لديها فرصة أفضل للتهرب من أدوات حماية نقطة النهاية الحديثة وملفات الكناري مقارنة ببرامج الفدية الآلية على مستوى النظام. 

يقول ماكجوفين: "من خلال استهداف ملفات محددة، يتمكن المهاجمون من اختيار ما هو حساس وما سيتم تسريبه بطريقة أكثر تكتيكية مقارنةً ببرامج الفدية التي تعتمد أسلوب الرش والصلاة". "يوفر هذا بنسبة 100% نهجًا خفيًا وجراحيًا لبرامج الفدية، مما يمنع المدافعين من التنبيه بشأن برامج الفدية الآلية، و مما يجعلها أكثر صعوبة في الاستخدام التوقيت أو الأساليب القائمة على السلوك للكشف أو الاستجابة.

من وجهة نظر فنية، يقول كاتلر إن ماوي لا يستخدم أي وسيلة متطورة لتجنب اكتشافه. ما يمكن أن يجعل اكتشافه صعبًا أيضًا هو انخفاض حجمه.

ويقول: "إن الافتقار إلى العروض المسرحية الشائعة لبرامج الفدية - [مثل] ملاحظات الفدية [و] تغيير خلفيات المستخدم - قد يؤدي إلى عدم إدراك المستخدمين على الفور أن ملفاتهم قد تم تشفيرها".

هل ماوي رنجة حمراء؟

يقول آرون تورنر، كبير مسؤولي التكنولوجيا في شركة Vectra، إن استخدام جهة التهديد لماوي بطريقة يدوية وانتقائية يمكن أن يكون مؤشرًا على أن هناك دوافع أخرى وراء الحملة غير مجرد تحقيق مكاسب مالية. إذا كانت كوريا الشمالية ترعى هذه الهجمات حقًا، فمن المتصور أن برامج الفدية ليست سوى فكرة لاحقة وأن الدوافع الحقيقية تكمن في مكان آخر. 

على وجه التحديد، من المرجح أن يكون مزيجًا من سرقة الملكية الفكرية أو التجسس الصناعي جنبًا إلى جنب مع تحقيق الدخل الانتهازي من الهجمات باستخدام برامج الفدية.

يقول تورنر: "في رأيي، هذا الاستخدام للتشفير الانتقائي الذي يحركه المشغل هو على الأرجح مؤشر على أن حملة Maui ليست مجرد نشاط فدية".

من المؤكد أن مشغلي Maui لن يكونوا أول من يستخدم برامج الفدية كغطاء لسرقة IP والأنشطة الأخرى. أحدث مثال على قيام مهاجم آخر بنفس الشيء هو شركة Bronze Starlight التي يقع مقرها في الصين، والتي يبدو أنها وفقًا لشركة Secureworks باستخدام برامج الفدية كغطاء لسرقة الملكية الفكرية واسعة النطاق التي ترعاها الحكومة والتجسس عبر الإنترنت.

يقول الباحثون إنه من أجل حماية أنفسهم، يجب على مؤسسات الرعاية الصحية الاستثمار في استراتيجية نسخ احتياطي قوية. يجب أن تتضمن الإستراتيجية اختبارات استرداد متكررة، على الأقل شهريًا، للتأكد من أن النسخ الاحتياطية قابلة للتطبيق، وفقًا لأفيشاي أفيفي، كبير مسؤولي أمن المعلومات في SafeBreach

"يجب على مؤسسات الرعاية الصحية أيضًا اتخاذ جميع الاحتياطات اللازمة لتقسيم شبكاتها وعزل البيئات لمنع الانتشار الجانبي لبرامج الفدية،" يشير أفيفي في رسالة بريد إلكتروني. "تُعد خطوات النظافة الإلكترونية الأساسية هذه طريقًا أفضل بكثير للمؤسسات التي تستعد لهجوم برامج الفدية [من تخزين عملات البيتكوين لدفع فدية]. ما زلنا نرى المنظمات تفشل في اتخاذ الخطوات الأساسية المذكورة. … هذا، لسوء الحظ، يعني أنه عندما (ليس إذا) تمكنت برامج الفدية من تجاوز الضوابط الأمنية الخاصة بها، فلن يكون لديها نسخة احتياطية مناسبة، وستكون البرامج الضارة قادرة على الانتشار أفقيًا عبر شبكات المؤسسة.

أصدر Stairwell أيضًا قواعد وأدوات YARA التي يمكن للآخرين استخدامها لتطوير عمليات اكتشاف برنامج طلب الفدية Maui.

الطابع الزمني:

اكثر من قراءة مظلمة