مايكروسوفت تتهم كوريا الشمالية باستغلال ثغرة Chromium zero-day

قالت شركة مايكروسوفت الأمريكية أنه وبتاريخ ١٩ أغسطس ٢٠٢٤، استطاعت أن تحدد أن جهة من القراصنة التابعين لكوريا الشمالية تستغل ثغرة أمنية في متصفح Chromium (وهو متصفح شديد التشابه مع متصفح جوجل الشهير كروم .. لذا فإن مستخدمي متصفح جوجل كروم يجب أن يتعاملوا مع الأمر أيضا تهديدا بالنسبة لهم وتحديث متصفحاتهم على الفور).

الشركة الأمريكية العملاقة قالت أن هذه الثغرة أصبح يشار إليها الآن باسم (CVE-2024-7971)، والهدف من وراءها هو أن يكون القرصان الإلكتروني قادرا على تنفيذ التعليمات البرمجية على الجهاز الذي يخترقه عن بعد.

وأضافت مايكروسوفت أن تقديراتها تؤكد بدرجة عالية من الثقة أن الاستغلال الذي تمت ملاحظته لثغرة CVE-2024-7971، والذي تري أن ورائه جهة كورية شمالية يستهدف (قطاع العملات المشفرة)، وذلك بهدف تحقيق مكاسب مالية.

ثغرة من كوريا الشمالية:

مايكروسوفت
اتهمت مايكروسوفت مجموعات كورية شمالية بتنفيذ ثغرة بهدف تحقيق أرباح مالية، صورة من rawpixel.

إذ قالت الشركة أن تحليلها المستمر، ومصدر الاختراق الذي تم ملاحظته يجعلها تؤكد بما وصفته بأنه (درجة ثقة متوسطة) إلي أن من يقف وراء ذلك هي المجموعة الكورية الشمالية التي تحمل اسم Citrine Sleet أو (ثلج السترين) في إشارة إلي حجر السترين الطبيعي.

وبحسب الملاحظات التي نشرتها مايكروسوفت على موقعها الرسمي، فإن برنامج (الجذر) والذي يعرف أيضا باسم root (الروت)، والذي حمل اسم (FudModule)، والذي تم اكتشاف أنه قادر على الوصول إلي ذاكرة kernel أو النواة الذي يعتبر أحد أهم أجزاء أنظمة التشغيل، قد تم نسبه كذلك إلي مجموعة من القراصنة الكوريين الشماليين يحملون اسم Diamond Sleet أو (ثلج الماس).

وكانت مايكروسوفت قد قالت أنها وفي وقت سابق قد حددت البنية الأساسية والأدوات المشتركة التي تجمع بين المجموعتين الكوريتين الشماليتين، وأن تحليلاتها الحالية تشير إلى أن هذه الثغرة قد تكون نتيجة لاستخدام مشترك للبرنامج الخبيث FudModule بين هاتين المجموعتين.

ما هي ثغرة CVE-2024-7971؟:

بحسب ما نشرته شركة مايكروسوفت فإن ثغرة CVE-2024-7971 هي عبارة عن ثغرة تصنف بأنها (ثغرة خلط الأنواع) بين النسخة الثامنة من JavaScript وبين WebAssembly وهي أكواد مفتوحة المصدر وتعليمات برمجية يمكن تشغيلها في متصفحات الإنترنت الحديثة.

وأضافت أن هذه الثغرة تؤثر على متصفح Chromium وبالتحديد الإصدارات الأقدم من النسخة 128.0.6613.84 (وقد يحمل تهديدا كذلك لمتصفح جوجل كروم)، حيث تسمح للجهات الفاعلة فيها بتنفيذ ما يعرف باسم (تنفيذ النصوص البرمجية العشوائي) المشار إليه اختصارا RCE.

هذا التنفيذ العشوائي للنصوص البرمجية يجعل المهاجم أو المخترق قادرا على القيام بأي أوامر أو تعليمات برمجية على الجهاز المستهدف.

وكانت جوجل قد أصدرت تحديثا شمل إصلاحًا للثغرة الأمنية بتاريخ ٢١ أغسطس ٢٠٢٤، ويجب على المستخدمين التأكد من استخدامهم أحدث إصدار من Chromium أو جوجل كروم.

سرقة العملات المشفرة عبر الثغرات الأمنية
لقطة شاشة لمتصفح Chromium يعرض الصفحة الرئيسية لموسوعة ويكيبيديا، UkrainianSSR، CC BY-SA 4.0، via wikimedia commons.

ووجهت مايكروسوفت الشكر إلي الفريق المسؤول عن متصفح Chromium على تعاونهم في حل هذه المشكلة، مضيفة أن ثغرة CVE-2024-7971 هي ثغرة خلط الأنواع الثالثة التي يتم اكتشافها هذا العام بعد ثغرتي CVE-2024-4947 و CVE-2024-5274.

وأضافت الشركة أنه كما هو الحال مع أي نشاط يتم رصده من قبل أي جهة تابعة لدولة ما، قامت مايكروسوفت بإخطار العملاء المستهدفين أو المخترقين بشكل مباشر، وتزويدهم بمعلومات مهمة للمساعدة في تأمين أجهزتهم.

ما هي مجموعة Citrine Sleet؟:

تقول مايكروسوفت عن مجموعة Citrine Sleet أنها مجموعة كورية شمالية تستهدف في المقام الأول المؤسسات المالية وخاصة المنظمات والأفراد الذين يديرون العملات المشفرة، لتحقيق مكاسب مالية.

ورصدت الشركة اعتماد مجموعة Citrine Sleet لتكتيكات (هندسة اجتماعية) -الهندسة الاجتماعية يقصد بها التلاعب بالبشر من أجل جعلهم يقومون عن طريق الخطأ بالافصاح عن معلوماتهم الخاصة-.

فقامت تلك المجموعة على سبيل المثال بإجراء استطلاع واسع النطاق لصناعة العملات المشفرة والأفراد المرتبطين بها، عن طريق إنشاء مواقع ويب مزيفة تختفي وراء شكل منصات شرعية لتداول العملات المشفرة، واستخدمتها في توزيع طلبات عمل مزيفة، أو إغراء الأشخاص لتحميل محفظة عملات مشفرة أو تطبيقات تداول تشبه تطبيقات شرعية.

وبحسب اتهامات شركة مايكروسوفت التي وجهتها إلي مجموعة Citrine Sleet، فإنه وفي أغلب الأحيان تكون هذه المواقع والتطبيقات محملة ببرمجية خبيثة وصفتها بأنها (فريدة من نوعها) تحمل اسم AppleJeus، وتقوم بجمع المعلومات اللازمة للسيطرة على أصول العملات المشفرة الخاصة بالأفراد المستهدفين.

في الوقت الحالي، قالت مايكروسوفت أن مجموعة Citrine Sleet قد أضافت إلي عملها استخدام حزمة FudModule الخبيثة، مضيفة أن لديها أدلة كافية على أن هذه الحزمة أصبحت تستخدم بشكل مشترك بينها وبين مجموعة Diamond Sleet الكورية الشمالية أيضا.

المعرفة للدراسات
المعرفة للدراسات
المعرفة للدراسات الإستراتيجية والسياسية، هي محاولة عربية جادة لتقديم أهم الأخبار العربية والعالمية مع التركيز علي تحليل مدلولاتها، لكي يقرأ العرب ويفهمون ويدركون. نمتلك في المعرفة للدراسات عددا من أفضل الكتاب العرب في عديد من التخصصات، لنقدم لكم محتوى حصري وفريد من نوعه. facebook twitter
تعليقات