قال باحثون إن قراصنة كوريين شماليين يستهدفون JumpCloud كشفوا عن طريق الخطأ عناوين IP الخاصة بهم
يقول باحثون أمنيون إن لديهم ثقة كبيرة في أن قراصنة كوريين شماليين كانوا وراء اقتحام حديث لشركة برمجيات المؤسسة JumpCloud بسبب خطأ ارتكبه المتسللون.
أرجع Mandiant ، الذي يساعد أحد عملاء JumpCloud المتأثرين ، الاختراق إلى متسللين يعملون لصالح المكتب العام للاستطلاع في كوريا الشمالية ، أو RGB ، وهي وحدة قرصنة تستهدف شركات العملات المشفرة وتسرق كلمات المرور من المديرين التنفيذيين وفرق الأمن. لطالما استخدمت كوريا الشمالية سرقات العملات المشفرة لتمويل برنامج الأسلحة النووية الخاضع للعقوبات.
في منشور بالمدونة ، قال Mandiant إن وحدة القرصنة ، التي تسميها UNC4899 (نظرًا لأنها مجموعة تهديد جديدة غير مصنفة) ، كشفت عن طريق الخطأ عناوين IP الخاصة بها في العالم الحقيقي. غالبًا ما يستخدم المتسللون الكوريون الشماليون خدمات VPN التجارية لإخفاء عناوين IP الخاصة بهم ، ولكن في “مناسبات عديدة” فشلت شبكات VPN في العمل أو لم يستخدمها المتسللون عند الوصول إلى شبكة الضحية ، مما كشف وصولهم من بيونغ يانغ.
قال مانديانت إن أدلتها تدعم أن هذا كان “زلة OPSEC” ، في إشارة إلى الأمن التشغيلي – الطريقة التي يحاول بها المتسللون منع تسريب المعلومات حول نشاطهم كجزء من حملات القرصنة الخاصة بهم. وقال الباحثون إنهم اكتشفوا أيضًا بنية تحتية إضافية مستخدمة في هذا التطفل كانت تستخدم سابقًا من قبل الاختراقات المنسوبة إلى كوريا الشمالية.
“تواصل الجهات الفاعلة في تهديد كوريا الشمالية وكوريا الشمالية تحسين قدراتها الهجومية الإلكترونية من أجل سرقة العملة المشفرة. على مدار العام الماضي ، رأيناهم ينفذون عدة هجمات لسلسلة التوريد ، ويسمون البرامج المشروعة ، ويطورون وينشرون البرامج الضارة المخصصة على أنظمة MacOS ، “قال تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في Mandiant. “إنهم يريدون في النهاية التنازل عن الشركات بالعملات المشفرة ووجدوا طرقًا إبداعية للوصول إلى هناك. لكنهم أيضًا يرتكبون أخطاء ساعدتنا في أن ننسب إليهم العديد من التدخلات “.
كما أكد كل من SentinelOne و CrowdStrike أن كوريا الشمالية كانت وراء اقتحام JumpCloud.
قالت JumpCloud في منشور قصير الأسبوع الماضي إن حملة القرصنة الكورية الشمالية استهدفت أقل من خمسة من عملائها من الشركات وأقل من 10 أجهزة. قامت JumpCloud بإعادة تعيين مفاتيح واجهة برمجة تطبيقات العميل الخاصة بها بعد الإبلاغ عن اختراق في يونيو. لدى JumpCloud أكثر من 200000 عميل مؤسسي ، بما في ذلك GoFundMe و ClassPass و Foursquare.
