انتشار شده در تاریخ 1404/05/29 - 07:12

حمله هکرهای کره شمالی به سفارتخانه‌های سئول

هکرهای مرتبط با کره شمالی در یک کمپین جاسوسی جدید، سفارتخانه‌های سئول را هدف قرار دادند.

به گزارش کارگروه حملات سایبری سایبربان؛ محققان اعلام کردند که گروه هکری مرتبط با کره شمالی، یک کمپین جاسوسی چند ماهه علیه سفارتخانه‌های خارجی در کره جنوبی انجام داده و حملات خود را به عنوان مکاتبات دیپلماتیک معمول پنهان کرده است.

طبق گزارشی که این هفته توسط شرکت امنیت سایبری ترلیکس (Trellix) منتشر شد، گمان می‌رود این عملیات که از ماه مارس امسال فعال بوده و هنوز ادامه دارد، با گروه کیمسوکی (Kimsuky) کره شمالی، که با نام «APT43» نیز شناخته می‌شود، مرتبط باشد و حداقل ۱۹ سفارتخانه و وزارتخانه خارجی را هدف قرار داده است.

اگرچه این کمپین به هکرهای تحت حمایت پیونگ یانگ نسبت داده شده، اما این گزارش حاکی از ارتباطات احتمالی با چین است. فعالیت هکرها با ساعات کاری چین هماهنگ بوده و در طول تعطیلات ملی چین متوقف شده است، اما نه در طول تعطیلات کره شمالی یا جنوبی. ترلیکس گفت که این الگوها احتمال اینکه منشأ حملات از چین باشد را افزایش می‌دهد.

مهاجمان خود را به عنوان دیپلمات‌ها و مقامات خارجی معرفی و ایمیل‌هایی ارسال کردند که به نظر می‌رسید شامل صورتجلسات، نامه‌های سفرا یا دعوتنامه‌های رویداد باشد. پیوست‌هایی که به شکل پی‌دی‌اف در فایل‌های زیپ محافظت‌شده با رمز عبور پنهان شده بودند، نوعی از تروجان دسترسی از راه دور «XenoRAT» را مستقر می‌کردند و به هکرها کنترل کامل سیستم‌های آلوده را می‌دادند.

محققان اظهار داشتند:

«محتوای فیشینگ هدفمند با دقت ساخته شده بود تا مکاتبات دیپلماتیک مشروع را تقلید کند. بسیاری از ایمیل‌ها شامل امضاهای رسمی، اصطلاحات دیپلماتیک و ارجاعات به رویدادهای واقعی بودند. چنین زمان‌بندی و زمینه دقیقی، احتمال باز کردن پیوست‌های مخرب توسط اهداف را به میزان قابل توجهی افزایش می‌داد.»

یک ایمیل فیشینگ، خود را به عنوان یک مأمور پروتکل سفارت ایالات متحده با دعوتنامه‌ای برای یک رویداد روز استقلال جا زده بود، درحالی‌که برخی دیگر، دیپلمات‌های اروپایی را جعل یا انجمن‌های بین‌المللی را تبلیغ می‌کردند. ترلیکس عنوان کرد که اسناد جعلی ساخته شده به چندین زبان، از جمله کره‌ای، انگلیسی، فارسی، عربی، فرانسوی و روسی را شناسایی کرده است.

بدافزار مورد استفاده در این کمپین، XenoRAT، یک تروجان دسترسی از راه دور متن‌باز با ویژگی‌های پیشرفته، از جمله کنترل از راه دور، ثبت ضربات کلید و دسترسی به وب‌کم و میکروفون است. این بدافزار پس از نصب روی دستگاه‌های قربانیان، اطلاعات دقیقی در مورد سیستم‌های آنها جمع‌آوری و داده‌ها را از طریق پلتفرم توسعه‌دهندگان گیت‌هاب استخراج می‌کرد تا از شناسایی شدن فرار کند. به گفته ترلیکس، مهاجمان همچنین برای میزبانی فایل‌های مخرب به دراپ‌باکس، گوگل درایو و سرویس‌های کره‌ای مانند داوم متکی بودند.

کیمسوکی حداقل از سال ۲۰۱۲ فعال بوده و دولت‌ها، اندیشکده‌ها، دانشگاهیان و سازمان‌های رسانه‌ای را در سراسر آسیا، اروپا، ژاپن، روسیه و ایالات متحده هدف قرار داده است. در سال ۲۰۲۳، واشنگتن و متحدان اقیانوس آرام آن، این گروه را تحریم و آن را به جمع‌آوری اطلاعات برای حمایت از سیاست خارجی کره شمالی و تلاش‌هایش برای دور زدن تحریم‌ها متهم کردند.

مقامات آمریکایی پیش از این گفته بودند که واحدهای سایبری کره شمالی اغلب خارج از کشور، از جمله از چین و روسیه، برای جلوگیری از تحریم‌ها فعالیت می‌کنند. ترلیکس ادعا کرد که یافته‌هایش از این دیدگاه پشتیبانی می‌کند که اگرچه آخرین کمپین با کیمسوکی مرتبط است، اما اپراتورها شاید در چین مستقر باشند.