المجموعة الإجرامية CryptoCore
يعتقد باحثو Infosec أنهم تمكنوا من الكشف عن هوية مجموعة المجرمين الإلكترونيين المسؤولة عن عدة ملايين من حملات الهجوم التي تستهدف في الغالب عمليات تبادل العملات المشفرة. أعطيت مجموعة المتسللين اسم CryptoCore من قبل خبراء الأمن الذين يتتبعون نشاطها. وعزا تقرير أولي الهجمات إلى قراصنة من أوروبا الشرقية ، ربما يكونون موجودين في دول من المنطقة مثل أوكرانيا وروسيا ورومانيا.
تابع العديد من بائعي الأمن السيبراني هذا التقرير من خلال إصدار نتائجهم الخاصة فيما يتعلق بالعمليات الخبيثة المختلفة التي أظهرت أوجه تشابه كبيرة مع الأنشطة التي لاحظها الباحثون الأمنيون. كشف تقرير F-SECURE عن تفاصيل حول حملة متعددة الجنسيات واسعة النطاق ضد محافظ العملات المشفرة ، بينما شارك CERT JPCERT / CC الياباني النتائج التي توصلوا إليها بعد تحليل هجمات متعددة ضد الشركات اليابانية. آخر قطعة كانت تقريرًا من NTT Security ، وهي شركة يابانية للأمن السيبراني ، بخصوص حملة تتبعوها على أنها CRYPTOMIMIC.
بعد الجمع بين المعلومات التي تم جمعها ومقارنتها ، كان لدى الباحثين أدلة كافية لإسناد عمليات CryptoCore بثقة متوسطة إلى عالية إلى مجموعة القرصنة Lazarus التي ترعاها الدولة في كوريا الشمالية. أكد هذا الاستنتاجات التي وضعتها F-Secure سابقًا.
تفاصيل هجوم CryptoCore
تم اكتشاف الهجمات لأول مرة في عام 2018 وتضمنت تكتيكات التصيد بالرمح المصممة لكسب موطئ قدم داخل الكيان المستهدف. افترض المتسللون هويات مختلفة وبدأوا الاتصال بالمستخدمين المختارين. ثم تم خداع الضحايا لتنزيل واحد أو أكثر من الملفات التالفة على أجهزة الكمبيوتر الخاصة بهم. بين عامي 2018 و 2020 ، تم تحديد 5 حملات هجوم مختلفة لتكون جزءًا من عمليات CryptoCore. تضمنت الكيانات المعرضة للخطر ثلاث بورصات مختلفة للعملات المشفرة والعديد من الشركات اليابانية. الخسائر المقدرة نتيجة الاختراقات تتجاوز 200 مليون دولار.
يبدو أن مجرمي الإنترنت يوسعون نطاق أنشطتهم من خلال تضمين أهداف إسرائيلية في عملياتهم الأخيرة. قد يكون التحول علامة على إعادة تعديل في تركيزهم أو أن المتسللين يلاحقون الشركات التي تطابق ملفًا ماليًا معينًا.
