جوجل: كوريا الشمالية تستخدم البلوكتشين لتوزيع البرمجيات الضارة

أبلغ تقرير من مجموعة ذكاء التهديدات في Google عن حملة برمجيات خبيثة نفذتها كوريا الشمالية تستخدم EtherHiding. تستخدم الحملة عقدًا ذكيًا على سلسلة عامة، مثل إثيريوم أو BNB، لتجنب الحذف أو الإزالة بواسطة الطرق التقليدية.

جوجل تحذر من كوريا الشمالية التي تضع البرمجيات الخبيثة في سلاسل الكتل العامة

الحقائق:

في تقرير صدر في 16 أكتوبر، حذرت مجموعة Google Threat Intelligence من استخدام شبكات البلوكشين العامة لإخفاء البرمجيات الخبيثة من قبل تهديدات الدول، بما في ذلك كوريا الشمالية.

تستخدم الحملة طريقة تُسمى “EtherHiding”، والتي تتيح للمهاجمين تضمين رمز خبيث كجزء من عقد ذكي مقيم في سلاسل الكتل العامة مثل إثيريوم و BNB. شهدت هذه الطريقة زيادة في عام 2023، لكن جوجل تشير إلى أن هذه هي المرة الأولى التي تلاحظ فيها دولة تستخدمها.

تشمل EtherHiding أيضًا الحملات المتوقعة في الهندسة الاجتماعية التي تتضمن إنشاء شركات وهمية واستهداف ملفات تعريف الوظائف المرتبطة بصناعة العملات المشفرة أو البروتوكولات المعروفة للعملات المشفرة.

يحدث الانتشار عندما يتم تقديم الأطراف المعنية لاختبارات برمجية تشمل تحميل أدوات مصابة، أو من خلال تحميل برامج اجتماع الفيديو.

تسلط جوجل الضوء على أن JADESNOW، وهي برمجيات خبيثة تستخدمها كوريا الشمالية وتستفيد من EtherHiding، تظهر تنوع هذه الأدوات المعتمدة على البلوكشين. من خلال فحصها، وجدت المجموعة أن العقد الضار قد تم تحديثه أكثر من 20 مرة خلال الأشهر الأربعة الأولى، مقابل 1.37 دولار كرسوم غاز لكل تحديث.

“تكاليف هذه التحديثات المنخفضة وتكرارها يوضحان قدرة المهاجم على تغيير إعدادات الحملة بسهولة.” أعلنت جوجل.

لماذا هو ذو صلة:

قد يدفع استخدام هذا النوع من التقنية، حيث يتم استخدام البلوكشين كآلية توزيع للبرمجيات الخبيثة، الجهات التنظيمية إلى اتخاذ نهج أكثر صرامة تجاه اعتماد هذه التقنيات.

بينما يمكن استهداف البرمجيات الخبيثة المستضافة على خادم بعيد وحذفها، فإن عدم القابلية للتغيير في البلوكشين تعني أنه يجب على شركات الأمن البحث عن طرق أخرى لمنع انتشارها، عبر استهداف مزودي واجهات برمجة التطبيقات الذين يسمحون للمعاملات بنقل هذا الرمز إلى الضحايا.

قالت مجموعة جوجل نفسها إن هذه الطريقة الجديدة تعني “تحديات جديدة” حيث “تعمل العقود الذكية بشكل مستقل ولا يمكن إيقافها.”

نتطلع إلى:

يتوقع المحللون أن يستمر اعتماد هذا النوع من التقنية في النمو في المستقبل، وأن يتم دمجه مع عمليات ابتكارية أخرى لجعلها أكثر خطورة، مستهدفة الأنظمة التي تتعامل مع البلوكشين أو المحافظ بشكل مباشر.

الأسئلة المتكررة 🧭

• ما هو التهديد الأخير الذي حددته جوجل بشأن البلوكشين العامة؟ أبلغت جوجل أن الفاعلين من الدول القومية، بما في ذلك كوريا الشمالية، يستخدمون طريقة تسمى “EtherHiding” لإدخال البرمجيات الخبيثة داخل العقود الذكية على سلاسل الكتل العامة مثل إثيريوم وBNB.
• كيف تعمل طريقة EtherHiding؟ يتيح EtherHiding للمهاجمين إخفاء التعليمات البرمجية الضارة داخل العقود الذكية ويعتمد على أساليب الهندسة الاجتماعية، مثل إنشاء شركات وهمية لجذب الباحثين عن عمل في مجال العملات المشفرة.
• ما هو البرمجيات الخبيثة المحددة التي ارتبطت بهذه التقنية الجديدة؟ أبرز التقرير JADESNOW، وهو برمجيات خبيثة كورية شمالية تستخدم ايثرهايدينغ، مع تحديثات متكررة وتكاليف تشغيل منخفضة لتغيير تكوين هجماتها.
• ما هي الآثار التي تنطوي عليها هذه التقنية بالنسبة لتنظيم البلوكشين؟ بينما تعقد عدم قابلية التغيير في البلوكشين إزالة البرمجيات الخبيثة، قد يسعى المنظمون إلى فرض رقابة أكثر صرامة على تقنيات البلوكشين للتخفيف من التهديد المتطور لاستغلال البرمجيات الخبيثة في بيئات العملات المشفرة.