مضاعفة الاهتمام: قراصنة كوريا الشمالية يقومون باختراق رسائل البريد الإلكتروني

تزعم شركة Volexity للأمن السيبراني أن قراصنة كوريين شماليين اقتحموا رسائل البريد الإلكتروني بمساعدة الامتدادات المليئة بالمحتوى. ضار، لكنها لا تزال متاحة لمتصفح Chromium. الأدوات قادرة على التجسس على محتوى رسائل البريد الإلكتروني المرتبطة بحسابات Gmail و AOL.

اقرأ أكثر: قراصنة جيدون: المنافسة التي تجري في ريو دي جانيرو مفتوحة للتسجيل

فهم الوضع

ينسب Volexity التدخلات إلى مجموعة من أجهزة الكمبيوتر تعمل معًا تسمى SharpTongue. وفقًا للشركة ، تشترك مجموعة الأنشطة في التداخلات المكتشفة مع المجموعة المعروفة علنًا باسم Kimsuky.

إنها ليست المرة الأولى التي تهاجم فيها SharpTongue. يؤكد الباحثان Paul Rascagneres و Thomas Lancaster أن الكتلة تميل إلى الغزو الأجهزة الإلكترونية للأشخاص أو المنظمات الكبرى المتصلة بالولايات المتحدة وأوروبا و كوريا الجنوبية.

والقصد من ذلك هو البحث عن معلومات استراتيجية تتعلق بالقضايا النووية والأسلحة والمصالح الأخرى التي تعتبر ضرورية لكوريا الشمالية للحصول على المعرفة ، حتى لو كان ذلك بشكل غير قانوني.

تصل البرامج الضارة إلى متصفحات مختلفة

يستخدم المتسللون الذين يعملون لحماية مصالح كوريا الشمالية امتداد Sharpext للحصول على وصول غير مصرح به إلى البريد الإلكتروني والبيانات الموجودة على أجهزة الكمبيوتر الخاصة بالضحايا.

تتسلل البرامج الضارة إلى بيانات البريد الإلكتروني للأشخاص وتستخرجها أثناء استخدامهم لأجهزة الكمبيوتر الخاصة بهم. بالإضافة إلى Google Chrome ، تم أيضًا إصابة متصفحي Microsoft Edge و Naver's Whale.

يقوم المتسللون أولاً بغزو كمبيوتر الضحية ثم تثبيت البرامج الضارة عبر امتداد متصفح ضار. تتم الخطوة الأخرى بمساعدة لوحة DevTools ، أداة Chrome للمطورين.

وبالتالي ، في نفس الوقت الذي تعمل فيه البرامج الضارة لسرقة بيانات البريد الإلكتروني للضحايا ، فإنها تخفي أيضًا الإشعارات للمستخدم حول امتدادات وضع المطور. لهذا السبب ، فإن اكتشاف الاقتحام مهمة صعبة وصعبة حقًا.

تشير التحقيقات إلى مجموعة من المتسللين الكوريين الشماليين المعروفة باسم APT37 ، لكن هناك دليل يلقي باللوم على قراصنة متحالفين مع روسيا في الهجوم ، بسبب البنية التحتية لروسيا. غزو. هم غزاة معروفون باسم APT28 أو Fancy Bear أو Sofacy.