هشدار سازمانهای دولتی آمریکا درباره یک بدافزار جدید
واحد فرماندهی امنیت سایبری، وزارت امنیت کشور و اداره تحقیقات فدرال ایالات متحده آمریکا خبر از اجرای یک عملیات هک جدید توسط کره شمالی داده است. این مقام ها درباره شش خانواده بدافزار جدیدی که در حال حاضر توسط هکرهای کره شمالی مورد استفاده قرار میگیرند، یک هشدار امنیتی منتشر کرده اند.
بر اساس آن چه در حساب توییتری فرماندهی نیروهای ملی مأموریت سایبری (CNMF) که زیرمجموعه واحد فرماندهی امنیت سایبری این کشور است آمده، این بدافزار توسط یک کمپین فیشینگ که توسط هکرهای کره شمالی اجرا میشود، منتشر شده است.
بدافزاری که @FBI_NCIJTF آن را به کره شمالی نسبت داده، در این نشانی وب منتشر شده است: https://t.co/cBqSL7DJzI. در حال حاضر عوامل گروه سایبری #DPRK از این بدافزار برای اجرای حملات فیشینگ و دسترسی از راه دور با هدف انجام اقدام های غیرقانونی، سرقت اموال افراد و جلوگیری از شناسایی شدن استفاده میکنند. @CISAgov @DHS @US_CYBERCOM USCYBERCOM Malware Alert (@CNMF_VirusAlert) February 14, 2020
فرماندهی امنیت سایبری آمریکا بر این باور است که از این بدافزار برای دسترسی از راه دور به سیستمهای مورد نظر، توسط هکرهای کره شمالی استفاده میشود تا مبالغی را به سرقت برده و برای دور زدن تحریمها به کره شمالی منتقل کنند.
لازم به ذکر است که دولت کره شمالی تاریخچهای طولانی در زمینه استفاده از هکرها برای سرقت از بانکها و صرافیهای ارز دیجیتال دارد تا با این کار بتواند تحریمهای اقتصادی را دور بزند. در سپتامبر سال 2019 میلادی نیز وزارت خزانه داری آمریکا «پیونگ یانگ» رئیس جمهور کره شمالی را به دلیل استفاده از چنین روش هایی تحریم کرده است.
شش خانواده جدید از بدافزارهای ساخت کره شمالی
مؤسسه امنیت زیرساخت و امنیت سایبری DHS/CISA هم علاوه بر فرماندهی امنیت سایبری آمریکا جزییات این حمله را در وب سایت خود منتشر کرده است.
در این گزارش، تحلیلی عمیق از شش نمونه بدافزاری که نهادهای آمریکا اخیراً آنها را شناسایی کردند، ارایه شده است. این بدافزارها عبارتند از:
- BISTROMATH: یک تروجان دسترسی از راه دور با امکانات کامل
- SLICKSHOES: یک ابزار بارگذاری بدافزار
- CROWDEDFLOUNDER: یک فایل اجرایی برای ویندوزهای 32 بیتی که با هدف اجرای یک تروجان دسترسی از راه دور در حافظه طراحی شده است.
- HOTCROISSANT: یک ابزار پایش با امکانات کامل که از آن برای بررسی سیستم، دانلود و بارگذاری فایل، اجرای فرمانها و پردازشها و همچنین گرفتن اسکرین شات از صفحه نمایش استفاده میشود.
- ARTFULPIE: ابزاری برای دانلود، بارگذاری و اجرای یک فایل DLL از یک نشانی وب مشخص
- BUFFETLINE: یک ابزار پایش با امکانات کامل که قادر به دانلود، بارگذاری، حذف و اجرای فایل، فعال کردن دسترسی به CLI ویندوز، ایجاد و خاتمه پردازشها و نیز تحلیل و بررسی سیستم مورد هدف است.
در این گزارش، اطلاعاتی در خصوص تروجان دسترسی از راه دور HOPLIGHT هم ارایه شده که FBI و DHS در ماه آوریل سال گذشته میلادی آن را معرفی کرده بودند.
CISA این بدافزار را به گروه Lazarus نسبت داده است
CISA این بدافزار را به یک گروه هکری کره شمالی به نام “HIDDEN COBRA” نسبت داده است که با پشتیبانی دولت این کشور فعالیت میکند. این گروه که با نام “Lazarus Group” نیز شناخته می شود، بزرگترین و فعالترین گروه هک در کره شمالی محسوب میشود.
قبلاً وزارت دادگستری آمریکا یکی از اعضای این گروه را به دلیل دخالت در چندین حادثه امنیتی از جمله هک شرکت سونی در سال 2014، حمله به بانک بنگلادش در سال 2016 و هماهنگی برای شیوع باجافزار WannaCry در ماه می سال 2017 محکوم کرده بود.
در اسکرین شاتی که یکی از اعضای واحد شکار تهدید شرکت Kaspersky برای وب سایت ZDNet ارسال کرده است، مشخص شده که کدهای این بدافزار با سایر کدهایی که در عملیاتهای گذشته مورد استفاده قرار گرفته اند، یکسان است. عکس های ارسالی هم یافتههای نهادهای امنیت سایبری و اطلاعاتی آمریکا را تأیید میکند.
تغییرات جدید در رویکرد افشاگری آمریکا
افشاگریهای دولت آمریکا گامی دیگر در رویکرد جدید این دولت برای مقابله با عملیاتهای امنیت سایبری است که بر ضد اهداف آمریکایی انجام میشوند. تا سال گذشته، دولت آمریکا از صحبت کردن درباره حملاتی که بر ضد نهادهای دولتی و بخش خصوصی این کشور انجام میشد، خودداری میکرد اما اخیراً یک رویکرد افشاگری را در این زمینه دنبال میکند.
پیش از این، اقدام های دولت آمریکا در این خصوص، محدود به انتشار هشدار امنیتی در وب سایتهای DHS/CISA و ثبت پرونده قضایی توسط وزارت دادگستری این کشور بود. اخیراً این اقدام ها گسترش بیشتری پیدا کرده و شامل تحریمهای وزارت خزانه داری و انتشار خبرها توسط کاخ سفید در رابطه با حملات هماهنگ شده توسط دولتهای خارجی نیز میشود.
در نوامبر 2018 یک تاکتیک جدید به این رویکرد اضافه شد و فرماندهی عملیات سایبری آمریکا شروع به بارگذاری نمونههای بدافزار طبقه بندی نشده به VirusTotal و انتشار خبر آن از طریق یک حساب توییتری کرد. نمونههای اولیه این بدافزارها به گروههای هک ایرانی و روسی نسبت داده شده بودند.
پس از آن، واحد فرماندهی سایبری آمریکا (در ماههای آگوست، سپتامبر و نوامبر 2019) اقدام به بارگذاری نمونههای بدافزاری کرد که به هکرهای کره شمالی نسبت داده شده بودند. در هیچ کدام از این موارد، مرکز فرماندهی سایبری آمریکا نمونههای بدافزار را به عوامل دولتی نسبت نداده بود و این کار را به شرکتهای امنیت سایبری واگذار میکرد.
طبق آنچه امروز توسط Cyberscoop اعلام شد، این اولین باری است که فرماندهی سایبری آمریکا، یک نمونه بدافزار را به صورت رسمی و عمومی به عوامل دولتی نسبت میدهد.
هشدار به بخش خصوصی برای اقدام فوری
هدف اصلی توصیههای امنیتی این گزارش، افزایش آگاهی درباره کمپینهای هک کره شمالی است. توصیههای امنیتی نهاد CISA به نام شش به علاوه یک، شامل معرفی اصولی معروف به YARA و نشانه های آلوده شدن سیستمها است که به سازمانهای تحقیقاتی و شرکتها کمک میکند تا شبکههای داخلی خود را برای تشخیص نشانه های فعالیت بدافزارهای کرهای بررسی کنند.
به گفته Cyberscoop، مقام های آمریکایی قبل از این هشدار عمومی به بخش خصوصی آمریکا، هشدارهای خصوصی را ارسال کرده و از شرکتها خواسته بودند مراقب تهدیدهای امنیتی جاری باشند. مقیاس حملات فعلی کره شمالی بر ضد اهداف آمریکایی مشخص نیست اما با توجه به سه حمله مشابه در سال گذشته، گفته میشود که حملات کره شمالی با شدت ثابتی در حال اجرا هستند.
از سال 2018، DHS 23 گزارشی در رابطه با بدافزارهای ساخت کره شمالی منتشر کرده است. این سازمان قبلاً در رابطه باWannaCry، DeltaCharlie Volgmer، FALLCHILL، BANKSHOT، BADCALL، HARDRAIN، SHARPKNOT، یک تروجان/ کرم دسترسی از راه دور بینام، TYPEFRAME، KEYMARBLE، FASTCash (دو گزارش)، HOPLIGHT، Joanap و Brambul گزارش منتشر کرده بود.
در ژانویه 2019 میلادی، سازمان FBI، DOJ و نیروی هوایی آمریکا برای مقابله با بات نت Joanap وارد عمل شدند که گفته میشد هکرهای کرهای از آن در عملیاتهای خود استفاده میکردند و نقش یک شبکه پروکسی برای مخفی کردن منشأ حملاتشان را بازی میکرد.
