خبر

هشدار سازمان‌های دولتی آمریکا درباره یک بدافزار جدید

واحد فرماندهی امنیت سایبری، وزارت امنیت کشور و اداره تحقیقات فدرال ایالات متحده آمریکا خبر از اجرای یک عملیات هک جدید توسط کره شمالی داده است. این مقام­ ها درباره شش خانواده بدافزار جدیدی که در حال حاضر توسط هکرهای کره شمالی مورد استفاده قرار می‌گیرند، یک هشدار امنیتی منتشر کرده ­اند.

بر اساس آن چه در حساب توییتری فرماندهی نیروهای ملی مأموریت سایبری (CNMF) که زیرمجموعه واحد فرماندهی امنیت سایبری این کشور است آمده، این بدافزار توسط یک کمپین فیشینگ که توسط هکرهای کره شمالی اجرا می‌شود، منتشر شده است.

بدافزاری که @FBI_NCIJTF آن را به کره شمالی نسبت داده، در این نشانی وب منتشر شده است: https://t.co/cBqSL7DJzI. در حال حاضر عوامل گروه سایبری #DPRK از این بدافزار برای اجرای حملات فیشینگ و دسترسی از راه دور با هدف انجام اقدام های غیرقانونی، سرقت اموال افراد و جلوگیری از شناسایی شدن استفاده می‌کنند. @CISAgov @DHS @US_CYBERCOM USCYBERCOM Malware Alert (@CNMF_VirusAlert) February 14, 2020

 

فرماندهی امنیت سایبری آمریکا بر این باور است که از این بدافزار برای دسترسی از راه دور به سیستم‌های مورد نظر، توسط هکرهای کره شمالی استفاده می‌شود تا مبالغی را به سرقت برده و برای دور زدن تحریم‌ها به کره شمالی منتقل کنند.

لازم به ذکر است که دولت کره شمالی تاریخچه‌ای طولانی در زمینه استفاده از هکرها برای سرقت از بانک‌ها و صرافی‌های ارز دیجیتال دارد تا با این کار بتواند تحریم‌های اقتصادی را دور بزند. در سپتامبر سال ۲۰۱۹ میلادی نیز وزارت خزانه­ داری آمریکا «پیونگ یانگ» رئیس جمهور کره شمالی را به دلیل استفاده از چنین روش ­هایی تحریم کرده است.

 

شش خانواده جدید از بدافزارهای ساخت کره شمالی

مؤسسه امنیت زیرساخت و امنیت سایبری DHS/CISA هم علاوه بر فرماندهی امنیت سایبری آمریکا جزییات این حمله را در وب سایت خود منتشر کرده است.

در این گزارش، تحلیلی عمیق از شش نمونه بدافزاری که نهادهای آمریکا اخیراً آنها را شناسایی کردند، ارایه شده است. این بدافزارها عبارتند از:

  1. BISTROMATH: یک تروجان دسترسی از راه دور با امکانات کامل
  2.  SLICKSHOES: یک ابزار بارگذاری بدافزار
  3. CROWDEDFLOUNDER: یک فایل اجرایی برای ویندوزهای ۳۲ بیتی که با هدف اجرای یک تروجان دسترسی از راه دور در حافظه طراحی شده است.
  4. HOTCROISSANT: یک ابزار پایش با امکانات کامل که از آن برای بررسی سیستم، دانلود و بارگذاری فایل، اجرای فرمان‌ها و پردازش‌ها و همچنین گرفتن اسکرین­ شات از صفحه نمایش استفاده می‌شود.
  5. ARTFULPIE: ابزاری برای دانلود، بارگذاری و اجرای یک فایل DLL از یک نشانی وب مشخص
  6. BUFFETLINE: یک ابزار پایش با امکانات کامل که قادر به دانلود، بارگذاری، حذف و اجرای فایل، فعال کردن دسترسی به CLI ویندوز، ایجاد و خاتمه پردازش‌ها و نیز تحلیل و بررسی سیستم مورد هدف است.

در این گزارش، اطلاعاتی در خصوص تروجان دسترسی از راه دور HOPLIGHT هم ارایه شده که FBI و DHS در ماه آوریل سال گذشته میلادی آن را معرفی کرده بودند.

 

CISA این بدافزار را به گروه Lazarus نسبت داده است

CISA این بدافزار را به یک گروه هکری کره شمالی به نام “HIDDEN COBRA” نسبت داده است که با پشتیبانی دولت این کشور فعالیت می‌کند. این گروه که با نام “Lazarus Group” نیز شناخته می­ شود، بزرگترین و فعال‌ترین گروه هک در کره شمالی محسوب می‌شود.

قبلاً وزارت دادگستری آمریکا یکی از اعضای این گروه را به دلیل دخالت در چندین حادثه امنیتی از جمله هک شرکت سونی در سال ۲۰۱۴، حمله به بانک بنگلادش در سال ۲۰۱۶ و هماهنگی برای شیوع باج‌افزار WannaCry در ماه می سال ۲۰۱۷ محکوم کرده بود.

در اسکرین­ شاتی که یکی از اعضای واحد شکار تهدید شرکت Kaspersky برای وب سایت ZDNet ارسال کرده است، مشخص شده که کدهای این بدافزار با سایر کدهایی که در عملیات‌های گذشته مورد استفاده قرار گرفته­ اند، یکسان است. عکس ­های ارسالی هم یافته‌های نهادهای امنیت سایبری و اطلاعاتی آمریکا را تأیید می‌کند.

 

تغییرات جدید در رویکرد افشاگری آمریکا

افشاگری‌های دولت آمریکا گامی دیگر در رویکرد جدید این دولت برای مقابله با عملیات‌های امنیت سایبری است که بر ضد اهداف آمریکایی انجام می‌شوند. تا سال گذشته، دولت آمریکا از صحبت کردن درباره حملاتی که بر ضد نهادهای دولتی و بخش خصوصی این کشور انجام می‌شد، خودداری می‌کرد اما اخیراً یک رویکرد افشاگری را در این زمینه دنبال می‌کند.

پیش از این، اقدام ­های دولت آمریکا در این خصوص، محدود به انتشار هشدار امنیتی در وب سایت‌های DHS/CISA و ثبت پرونده قضایی توسط وزارت دادگستری این کشور بود. اخیراً این اقدام­ ها گسترش بیشتری پیدا کرده و شامل تحریم‌های وزارت خزانه­ داری و انتشار خبرها توسط کاخ سفید در رابطه با حملات هماهنگ شده توسط دولت‌های خارجی نیز می‌شود.

در نوامبر ۲۰۱۸ یک تاکتیک جدید به این رویکرد اضافه شد و فرماندهی عملیات سایبری آمریکا شروع به بارگذاری نمونه‌های بدافزار طبقه ­بندی نشده به VirusTotal و انتشار خبر آن از طریق یک حساب توییتری کرد. نمونه‌های اولیه این بدافزارها به گروه‌های هک ایرانی و روسی نسبت داده شده بودند.

پس از آن، واحد فرماندهی سایبری آمریکا (در ماه‌های آگوست، سپتامبر و نوامبر ۲۰۱۹) اقدام به بارگذاری نمونه‌های بدافزاری کرد که به هکرهای کره شمالی نسبت داده شده بودند. در هیچ کدام از این موارد، مرکز فرماندهی سایبری آمریکا نمونه‌های بدافزار را به عوامل دولتی نسبت نداده بود و این کار را به شرکت‌های امنیت سایبری واگذار می‌کرد.

طبق آنچه امروز توسط Cyberscoop اعلام شد، این اولین باری است که فرماندهی سایبری آمریکا، یک نمونه بدافزار را به صورت رسمی و عمومی به عوامل دولتی نسبت می‌دهد.

 

هشدار به بخش خصوصی برای اقدام فوری

هدف اصلی توصیه‌های امنیتی این گزارش، افزایش آگاهی درباره کمپین‌های هک کره شمالی است. توصیه‌های امنیتی نهاد CISA به نام شش به علاوه یک، شامل معرفی اصولی معروف به YARA و نشانه­ های آلوده شدن سیستم‌ها است که به سازمان‌های تحقیقاتی و شرکت‌ها کمک می‌کند تا شبکه‌های داخلی خود را برای تشخیص نشانه ­های فعالیت بدافزارهای کره‌ای بررسی کنند.

به گفته Cyberscoop، مقام ­های آمریکایی قبل از این هشدار عمومی به بخش خصوصی آمریکا، هشدارهای خصوصی را ارسال کرده و از شرکت‌ها خواسته بودند مراقب تهدیدهای امنیتی جاری باشند. مقیاس حملات فعلی کره شمالی بر ضد اهداف آمریکایی مشخص نیست اما با توجه به سه حمله مشابه در سال گذشته، گفته می‌شود که حملات کره شمالی با شدت ثابتی در حال اجرا هستند.

از سال ۲۰۱۸، DHS 23 گزارشی در رابطه با بدافزارهای ساخت کره شمالی منتشر کرده است. این سازمان قبلاً در رابطه باWannaCry، DeltaCharlie  Volgmer، FALLCHILL، BANKSHOT، BADCALL، HARDRAIN، SHARPKNOT، یک تروجان/ کرم دسترسی از راه دور بی­نام، TYPEFRAME، KEYMARBLE،  FASTCash  (دو گزارش)، HOPLIGHT، Joanap و Brambul گزارش منتشر کرده بود.

در ژانویه ۲۰۱۹ میلادی، سازمان FBI، DOJ و نیروی هوایی آمریکا برای مقابله با بات­ نت Joanap وارد عمل شدند که گفته می‌شد هکرهای کره‌ای از آن در عملیات‌های خود استفاده می‌کردند و نقش یک شبکه پروکسی برای مخفی کردن منشأ حملات­شان را بازی می‌کرد.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار × پنج =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.