حذر خبراء الأمن السيبراني، الأربعاء، من أن مجموعة “لازاروس” الكورية الشمالية التي تديرها الدولة تشن حملة جديدة تُعرف باسم “Mach-O Man” تحول التواصل التجاري العادي إلى طريق مباشر لسرقة بيانات الدخول والمعلومات الحساسة.
وقالت ناتالي نيوسون، كبيرة باحثي أمن البلوكتشين في شركة “CertiK”، إن المجموعة التي تقدر خسائرها التراكمية بنحو 6.7 مليار دولار منذ عام 2017، تستهدف المديرين التنفيذيين والشركات في قطاعات التكنولوجيا المالية والعملات الرقمية وغيرها من القطاعات عالية القيمة.
وأضافت نيوسون أن قراصنة كوريا الشمالية تمكنوا خلال الأسبوعين الماضيين فقط من سحب أكثر من 500 مليون دولار من منصتي “Drift” و”KelpDAO” في حملة تبدو مستمرة. وأكدت أن صناعة العملات الرقمية بحاجة للتعامل مع “لازاروس” بنفس الطريقة التي تتعامل بها البنوك مع الجهات السيادية في الفضاء الإلكتروني: “كتهديد دائم وممول جيداً، وليس مجرد خبر عابر”.
وأشارت نيوسون إلى أن “ما يجعل لازاروس خطيرة جداً الآن هو مستوى نشاطها. KelpDAO وDrift والآن مجموعة أدوات خبيثة جديدة لنظام macOS، كل ذلك في نفس الشهر. هذا ليس اختراقاً عشوائياً، بل عملية مالية موجهة من دولة تعمل بحجم وسرعة المؤسسات.”
وأوضحت أن كوريا الشمالية حولت سرقة العملات الرقمية إلى صناعة وطنية مربحة، وأن “Mach-O Man” هو أحدث منتج من هذه العملية. ورغم أن “لازاروس” طورته، إلا أن مجموعات أخرى من الجرائم الإلكترونية تستخدمه أيضاً.
كيف تعمل هجمات Mach-O Man؟
أوضحت نيوسون أن “Mach-O Man” هو مجموعة أدوات خبيثة معيارية من تطوير قسم “Chollima” الشهير في “لازاروس”. يستخدم هذا البرنامج ملفات Mach-O الأصلية المصممة خصيصاً لبيئات أبل التي تعمل فيها منصات العملات الرقمية والتكنولوجيا المالية.
وأكدت أن “Mach-O Man” يستخدم طريقة توصيل تُعرف باسم “ClickFix”. وأوضحت أن هذه الطريقة هي أسلوب هندسة اجتماعية حيث يُطلب من الضحية لصق أمر معين في نافذة الأوامر الطرفية (Terminal) لإصلاح مشكلة اتصال وهمية.
ووفقاً لما ذكره ماورو إلدريتش، خبير الأمن ومؤسس شركة استخبارات التهديدات BCA Ltd، فإن الهجوم يبدأ بإرسال “لازاروس” دعوة اجتماع “عاجلة” عبر تطبيق تيليغرام (Telegram) لحضور مكالمة على زوم (Zoom) أو مايكروسوفت تيمز (Microsoft Teams) أو جوجل ميت (Google Meet).
الرابط يؤدي إلى موقع مزيف ولكنه مقنع، يطلب من الضحية نسخ ولصق أمر بسيط في نافذة أوامر جهاز ماك (Mac) الخاص به “لإصلاح مشكلة في الاتصال”. بهذه الطريقة، يمنح الضحايا وصولاً فورياً إلى أنظمة الشركة ومنصات البرمجيات كخدمة (SaaS) والموارد المالية. وعندما يكتشفون أنهم تعرضوا للاختراق، يكون الوقت قد فات غالباً.
أنواع مختلفة من الهجوم
أشار باحث أمن التهديدات فلاديمير إس إلى وجود عدة نسخ من هذا الهجوم. هناك حالات تم فيها اختراق نطاقات مشاريع التمويل اللامركزي (DeFi) من خلال استبدال مواقعها برسالة مزيفة من شركة كلاودفلير (Cloudflare) تطلب من الزائر إدخال أمر لمنح الوصول.
وقالت نيوسون من CertiK: “هذه الخطوات المزيفة للتحقق ترشد الضحايا إلى استخدام اختصارات لوحة المفاتيح لتشغيل أمر ضار. الصفحة تبدو حقيقية، والتعليمات طبيعية، والضحية هو من ينفذ الإجراء بنفسه – وهذا هو السبب في أن أدوات الأمان التقليدية غالباً ما تفشل في اكتشافه.”
معظم ضحايا هذا الاختراق لن يدركوا أن أمنهم قد تم اختراقه حتى يحدث الضرر، وعندها يكون البرنامج الخبيث قد محى نفسه بالفعل.
واختتمت نيوسون قائلة: “على الأرجح أنهم لا يعرفون بعد. وإذا كانوا يعرفون، فربما لا يستطيعون تحديد النسخة التي أصابتهم.”
أسئلة وأجوبة شائعة
- س: ما هي مجموعة لازاروس الكورية الشمالية؟
ج: هي مجموعة قرصنة تديرها دولة كوريا الشمالية، وتشتهر بسرقة العملات الرقمية. تقدر خسائرها بأكثر من 6.7 مليار دولار منذ 2017، وتستهدف الشركات الكبرى وقطاع التمويل والعملات الرقمية. - س: كيف تعمل هجمات “Mach-O Man” الجديدة؟
ج: ترسل المجموعة دعوة اجتماع عاجلة عبر تطبيق تيليغرام. الرابط يقود لموقع مزيف يطلب من الضحية نسخ ولصق أمر بسيط في جهاز ماك الخاص به “لإصلاح مشكلة اتصال”، مما يمنح القراصنة وصولاً كاملاً لأنظمته وبياناته. - س: كيف يمكنني حماية نفسي من هذا الهجوم؟
ج: لا تنسخ أو تلصق أي أوامر في نافذة الأوامر الطرفية (Terminal) بناءً على تعليمات من مواقع أو رسائل غير موثوقة. تحقق دائماً من روابط الاجتماعات عبر قنوات الاتصال الرسمية، واحذر من أي طلب “عاجل” غير متوقع.
