افشای بدافزار جدیدی از کره شمالی در سالگرد WannaCry

به گزارش کارگروه بین الملل سایبربان؛ امروز مقامات امنیت سایبری ایالات متحده، جزئیاتی در مورد سه بدافزاری ارائه دادند که توسط هکرهای حکومت کره شمالی برای هدفهای خاص در کل دنیا استفاده شده بود.

این اطلاعیه با سالگرد سه ساله پدیدار شدن باجافزار WannaCry همزمان شده که مقامات ایالات متحده به صورت رسمی آن را تقصیر کره شمالی انداختند و حتی تا دادگاهی کردن یکی از هکرها پیش رفتند.

سه بدافزاری که امروز معرفی شدند با این نام ها هستند:

Copperhedge: یک تروجان کنترل شده از راه دور (RAT) که قادر به اجرای فرمان های اختیاری است و می تواند اعمالی چون شناسایی سیستم و دزدی داده یا Data exfiltration انجام دهد. شش نوع مختلف شناسایی شده اند.

Taintedscribe: یک تروجان که روی سیستم های هک شده نصب میشود تا فرمانهای حملهکننده را دریافت و اجرا کند. این نمونهها از FakeTLS برای احراز هویت و رمزگذاری شبکه ای استفاده میکنند که از یک الگوریتم LSFSR در این کار استفاده می شود. داده اجرایی اصلی خود را به عنوان Microsoft Narrator مخفی می کند.

Pebbledash: این مورد قابلیت دانلود، آپلود، حذف و اجرای فایل ها را دارد و اجازه دسترسی به CLI ویندوز میدهد، پردازشها را می تواند بسازد و متوقف کند و همین طور شمارش سیستمی هدف را انجام می دهد.

سازمان امنیت سایبری و زیرساختی توصیه های رسمی برای این سه بدافزار در وبسایت خود منتشر کرده است.

فرماندهی سایبری ایالات متحده هم نمونه هایی از سه بدافزار مطرحشده در حساب VirusTotal خود منتشر کرده است.

کاستین رایو، یک تحلیلگر بدافزار در Kaspersky’s GReAT تایید کرده که این سه بدافزار مرتبط با گروه های خطرناک کره شمالی بوده اند. رایو میگوید که نمونه ها شباهت های کدنویسی با Manuscrypt (یک گروه بدافزار شناخته شده کره شمالی) دارند. همان کدهایی که Kaspersky در سال ۲۰۱۷ کشف کرده بود.

اما امروز علاوه بر سالگرد سهساله WannaCry، سالگرد سه ساله از زمانی است که دولت ایالات متحده شروع به منتشر کردن هشدارهایی در مورد بدافزار کره شمالی و فعالیتهای هک آنها در وبسایتش را آغاز کرده بود.

از ۱۲ می سال ۲۰۱۷، سازمان امنیت ملی گزارش هایی در مورد ۲۸ نمونه بدافزار در وبسایت خود منتشر کرده است.

دید کلی این بود که با انتشار راحت و ساده اطلاعات در مورد این بدافزارها، عموم و بخش های خصوصی قادر به اجرای قابلیت های شناسایی برای مسدود کردن حملاتی میشود که دارای چنین ابزاری است و در نتیجه هکرهای کره شمالی را به جای این که از موفقیت عملیات های هک خود جشن بگیرند، برای عبور از بررسی های امنیتی مجبور به کار مرتب روی نسخه های جدیدی می کند.