قراصنة كوريا الشمالية يستخدمون البلوكشين كسلاح في حملة جديدة بعنوان 'EtherHiding'

يختبر قراصنة كوريا الشمالية طريقة هجوم جديدة تسمى EtherHiding تقوم بتضمين الشيفرة الخبيثة مباشرة في شبكات البلوكشين مثل إيثريوم.
تستخدم التقنية العقود الذكية لإخفاء وتوزيع البرمجيات الخبيثة بطرق تكاد تكون من المستحيل اكتشافها أو إزالتها بسبب عدم قابلية تغيير البلوكشين.
حذر خبراء الأمن من أن هذا يمثل تحولًا من سرقة العملات الرقمية التقليدية نحو تسليح أنظمة البلوكشين اللامركزية للحرب الإلكترونية

تهديد إلكتروني جديد يظهر من كوريا الشمالية حيث يقوم قراصنة مدعومون من الدولة بتجربة تضمين شيفرات خبيثة مباشرة في شبكات البلوكشين.

أفادت مجموعة معلومات التهديدات من جوجل (GTIG) في 17 أكتوبر أن التقنية، التي تُسمى EtherHiding، تمثل تطورًا جديدًا في كيفية إخفاء القراصنة للبرمجيات الخبيثة وتوزيعها والتحكم فيها عبر الأنظمة اللامركزية.

ما هو EtherHiding؟

أوضحت GTIG أن EtherHiding تسمح للمهاجمين بتسليح العقود الذكية والبلوكشين العامة مثل إيثريوم وBNB Smart Chain باستخدامها لتخزين الحمولات الخبيثة.

بمجرد تحميل قطعة من الشيفرة إلى هذه السجلات اللامركزية، يصبح من المستحيل تقريبًا إزالتها أو حجبها بسبب طبيعتها الثابتة.

كتبت GTIG أن "على الرغم من أن العقود الذكية تقدم طرقًا مبتكرة لبناء تطبيقات لامركزية، إلا أن طبيعتها غير القابلة للتغيير تُستغل في EtherHiding لاستضافة وتقديم الشيفرة الخبيثة بطريقة لا يمكن حجبها بسهولة".

في الممارسة العملية، يخترق القراصنة مواقع ووردبريس الشرعية، غالبًا عن طريق استغلال الثغرات غير المرقعة أو بيانات الاعتماد المسروقة.

بعد الوصول، يدرجون بضعة أسطر من جافا سكريبت—المعروفة باسم "محمل"—في شيفرة الموقع. عندما يفتح الزائر الصفحة المصابة، يتصل المحمل بهدوء بالبلوكشين ويسترجع البرمجيات الخبيثة من خادم بعيد.

EtherHiding on BNB Chain and Ethereum. — EtherHiding على BNB Chain وEthereum. المصدر: مجموعة معلومات التهديدات من جوجل

أشارت GTIG إلى أن هذا الهجوم غالبًا ما يترك دون أثر مرئي للمعاملات ويتطلب رسومًا قليلة أو معدومة لأنه يحدث خارج السلسلة. هذا، في جوهره، يسمح للمهاجمين بالعمل دون اكتشاف.

كيفية منع الهجوم

يقول الباحثون في مجال الأمن السيبراني إن هذه التكتيك يشير إلى تحول في استراتيجية كوريا الشمالية الرقمية من مجرد سرقة العملات المشفرة إلى استخدام البلوكشين نفسه كسلاح خفي.

صرحت GTIG أن "EtherHiding يمثل تحولًا نحو استضافة الجيل القادم المحصنة، حيث يتم إعادة توظيف الميزات الأساسية لتكنولوجيا البلوكشين لأغراض خبيثة. هذه التقنية تؤكد على التطور المستمر للتهديدات السيبرانية حيث يتكيف المهاجمون ويستفيدون من التقنيات الجديدة لصالحهم".

وصف جون سكوت-رايلتون، الباحث البارز في Citizen Lab، EtherHiding بأنه "تجربة في مرحلة مبكرة". وحذر من أن دمجه مع الأتمتة المدفوعة بالذكاء الاصطناعي قد يجعل الهجمات المستقبلية أصعب بكثير في الاكتشاف.

وأضاف أنه "أتوقع أن يجرب المهاجمون أيضًا تحميل استغلالات بدون نقر مباشرة على البلوكشين التي تستهدف الأنظمة والتطبيقات التي تعالج البلوكشين... خاصة إذا كانت تستضاف أحيانًا على نفس الأنظمة والشبكات التي تتعامل مع المعاملات / لديها محافظ".

يمكن أن يكون لهذا المتجه الهجومي الجديد تداعيات خطيرة على صناعة العملات الرقمية، بالنظر إلى أن المهاجمين الكوريين الشماليين نشطون بشكل كبير.

تظهر البيانات من TRM Labs أن المجموعات المرتبطة بكوريا الشمالية قد سرقت بالفعل أكثر من ١,٥ مليار دولار من الأصول الرقمية هذا العام وحده. يعتقد المحققون أن تلك الأموال تساعد في تمويل برامج بيونغ يانغ العسكرية وجهودها لتجنب العقوبات الدولية.

نظرًا لذلك، نصحت GTIG مستخدمي العملات الرقمية بتقليل مخاطرهم عن طريق حظر التنزيلات المشبوهة وتقييد السكربتات الويب غير المصرح بها. كما حثت المجموعة الباحثين الأمنيين على تحديد ووضع علامات على الشيفرات الخبيثة المدمجة داخل شبكات البلوكشين.