حمله سایبری به سازمان‌های نظامی آمریکا

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت نرم‌افزاری و امنیت رایانه مک‌آفی «McAfee» در گزارشی مدعی شد گروه لازاروس کارکنان سازمان‌های هوافضا و دفاعی آمریکا را هدف قرار داده است. 

در گزارش این شرکت ادعا شده است کمپین لازاروس «Operation North Star» نام‌گذاری شده و از اواخر ماه مارس 2020 تا ماه می ادامه داشته است. 

بنابه ادعای مک‌آفی، مهاجمان با ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب فرصت‌های شغلی کارکنان را تشویق ‌می‌‎کرده‌اند فایل‌های زیپ و .docx را که شامل چندین بخش بوده‌اند، باز کنند. 

هکرها با بهره‌گیری از تکنیک تزریق قالب (Template injection) لینکی را به یک فایل تمپلیت در یکی از فایل‌های .XML قرار ‌می‌داده‌اند که از طریق آن فایل قالب «DOTM» از یک سرور از راه دور بارگیری می‌شده است. 

برخی از فایل‌های تمپلیت به فایل‌های JPEG در سرور از راه دور تغییر نام می‌دادند تا مشکوک جلوه نکنند. فایل‌های تمپلیت حاوی کدهای ماکرو بوده‌اند که به زبان ویژوال بیسیک نوشته‌شده و اقدام به بارگیری فایل‌های مخرب DLL در سیستم قربانی می‌کرده‌اند. این فایل‌های مخرب DLL نیز اقدام به جاسوسی سایبری و جمع‌آوری داده‌های سیستم می‌کرده‌اند. 

مهاجمان در این کمپین عملکرد یوزرایجنت سیستم را نیز شبیه‌سازی می‌کرده‌اند تا شناسایی نشوند و با سرور کنترل و فرمان نیز ارتباط برقرار کنند. 

 این کمپین با بهره‌گیری از زیرساخت‌های آلوده چندین کشور اروپایی برای استقرار زیرساخت‌های فرماندهی و کنترل و توزیع بدافزار در سیستم‌های قربانیان انجام‌گرفته است. 

مک‌آفی مدعی شد این نوع عملیات پیش‌ازاین نیز در سال 2017 و 2019 با استفاده از روش‌های مشابه باهدف جمع‌آوری اطلاعات فناوری‌های پیشرفته نظامی و دفاعی اجراشده است.

آگهی‌های شغلی از طرف پیمانکاران دفاعی مشهور در کمپین 2017 نیز مورداستفاده قرار ‌گرفته است. اطلاعات به‌دست‌آمده از ایمیل‌های فیشینگ نشان ‌داده این کمپین برای جمع‌آوری داده‌های پروژه‌های خاص متمرکز بوده است. 

طبق گزارش مک‌آفی، حملات 2020 شباهت بسیاری به حملات سال‌های 2017 و 2019 داشته و به‌نوعی ادامه حملات سال 2019 بوده است.