حمله هکرهای دولت کره شمالی به یک شرکت هوافضا در اسپانیا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی در روز جمعه، محققان گفتند که کمپین هکرهای مرتبط با لازاروس را کشف کردند؛ گروه بدنامی که طی دو سال گذشته میلیاردها دلار از شرکت‌های ارزهای دیجیتال به سرقت برده است.

کارمندان این شرکت ناشناس از طریق یک استخدام‌کننده جعلی متا، پیام‌هایی در لینکدین ارسال کرده و فریب خوردند تا فایل‌های مخربی را باز کنند که ظاهراً آزمون‌ها یا چالش‌های کدنویسی هستند.

به گفته ایست (ESET)، پس از باز شدن این فایلها، دستگاه قربانی با درب پشتی آلوده شده و به هکرها اجازه می‌دهد جاسوسی کنند.

محقق شرکت ایست، پیتر کالنای که این کشف را انجام داده است، گفت:

نگران‌کننده‌ترین جنبه حمله، نوع جدید محموله است؛ ابزار لایتلس کن (LightlessCan)، ابزاری پیچیده و احتمالاً در حال تکامل که سطح بالایی از پیچیدگی را در طراحی و عملکرد خود نشان می‌دهد و نشان‌دهنده پیشرفت قابل‌توجهی در قابلیت‌های مخرب در مقایسه با نسخه قبلی خود، بلایندینگ کن (BlindingCan) است.

هکرها از طریق یک کمپین موفق فیشینگ نیزه ای (spearphishing) موفق شدند به شبکه این شرکت دسترسی پیدا کنند.

استخدام کننده جعلی ادعا کرد که از طرف شرکت متا است و به کارمندان، دو چالش کدنویسی را پیشنهاد داد که به گفته آنها بخشی از فرآیند درخواست بوده است و یکی از چندین کارمند مورد تماس، فایل ها را در یکی از دستگاه های شرکت دانلود می کند.

محققان خاطرنشان کردند که این کمپین پیچیده بود و بدافزار فقط برای دستگاه قربانی در نظر گرفته شده بود.

لازاروس حداقل از سال 2009 وجود داشته است و همچنان به راه اندازی طیف وسیعی از کمپین ها با هدف قرار دادن سازمان های مهم برای کره شمالی ادامه می دهد.

محققان ایست می‌گویند:

تنوع، تعداد و غیرمتمرکز بودن در اجرای کمپین‌های لازاروس، این گروه را تعریف می‌کند که هر سه رکن فعالیت‌های مجرمانه سایبری را انجام می‌دهد: جاسوسی سایبری، خرابکاری سایبری و تعقیب سود مالی.

شرکت های هوافضا هدف غیرعادی برای گروه های تهدید مداوم پیشرفته (APT) همسو با کره شمالی نیستند.

بسیاری از حملات سایبری این کشور به برنامه تسلیحات هسته‌ای آن کمک می‌کند، یا به سرقت ارزهای دیجیتال و پول برای تأمین مالی برنامه یا هک کردن شرکت‌هایی با دانش فنی که می‌توانند از تلاش‌های آنها پشتیبانی کنند.

اغواهای استخدامی، مشخصه بارز هکرهای کره شمالی است که بارها از این تاکتیک برای هدف قرار دادن طیف وسیعی از صنایع استفاده کرده اند.

سال گذشته، محققان سیمانتک و گوگل گزارشی درباره کمپین کره شمالی منتشر کردند که در آن هکرها به عنوان استخدام‌کنندگان دیزنی، گوگل و اوراکل ظاهر شدند و فرصت‌های شغلی جعلی را به افرادی که برای سازمان‌های بخش شیمیایی در کره جنوبی کار می‌کردند، ارائه نمودند.

در ماه جولای، هکرهای کره شمالی از اسناد جعلی استخدام ارتش ایالات متحده استفاده کردند تا مردم را به دانلود بدافزارهایی که در سایت‌های تجارت الکترونیک قانونی، اما در معرض خطر قرار گرفته‌اند، فریب دهند.