استفاده گروه جاسوسی سایبری اسکارکرفت از باج‌افزار

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به گفته تحلیلگران شرکت امنیت سایبری کره جنوبی S2W در گزارشی که روز پنجشنبه منتشر شد، اسکارکرفت که عمدتاً به خاطر کارزارهای جاسوسی سایبری علیه افراد سرشناس و نهادهای دولتی شناخته می‌شود، در این عملیات از باج‌افزاری «جدیداً مشاهده‌شده» استفاده کرده است.

پژوهشگران این باج‌افزار را «VCD» نام‌گذاری کرده‌اند؛ برگرفته از پسوندی که به نام فایل‌های رمزگذاری‌شده اضافه می‌کند.

این بدافزار دو نسخه از یادداشت باج‌خواهی خود را یکی به زبان انگلیسی و دیگری به زبان کره‌ای منتشر می‌کند.

شرکت S2W بیان کرد که استفاده اسکارکرفت از باج‌افزار حاکی از یک تغییر احتمالی به سمت عملیات با انگیزه مالی یا گسترش اهداف عملیاتی است که اکنون شامل تاکتیک‌های مخرب یا اخاذی‌محور نیز می‌شود.

اسکارکرفت پیش‌تر نهادهایی در کره جنوبی، ژاپن، ویتنام، روسیه و نپال را هدف قرار داده بود.

در یک کارزار علیه کره‌ای‌ها در ماه ژوئیه، به گفته S2W، هکرها از ایمیل‌های فیشینگ حاوی یک فایل بایگانی مخرب برای نفوذ به سامانه‌های هدف استفاده کردند.

فایل فریبنده پیامی درباره به‌روزرسانی کد پستی مرتبط با تغییر آدرس خیابان‌ها نمایش می‌داد.

گزارش مشخص نکرده است که چه کسانی این ایمیل‌ها را دریافت کردند.

پژوهشگران بیش از ۹ نوع بدافزار را در این کارزار شناسایی کردند؛ از جمله ابزارهای سرقت اطلاعات لایت پیک (LightPeek) و فید استیلر (FadeStealer) و همچنین ناب‌اسپای (NubSpy)؛ یک درِ پشتی که از پلتفرم پیام‌رسان فوری قانونی پاب‌ناب (PubNub) برای ارتباط فرمان و کنترل (C2) استفاده می‌کند.

در حالی که پاب‌ناب معمولاً برای اپلیکیشن‌های چت و اعلان‌ها به کار می‌رود، اسکارکرفت از آن برای پنهان کردن ترافیک مخرب در میان فعالیت‌های عادی شبکه سوءاستفاده کرده است.

پژوهشگران این عملیات را به یک زیرگروه اسکارکرفت به نام چینوپانک (ChinopuNK) نسبت دادند که پیش‌تر بدافزار چینوتو (Chinotto) را منتشر کرده بود؛ بدافزاری که قادر است اطلاعات سامانه را استخراج کرده و از هر دو سیستم عامل ویندوز و اندروید پشتیبانی کند.

در کارزار اخیر، هکرها از گونه جدیدی از این بدافزار استفاده کردند که S2W آن را چیلی‌چینو (ChillyChino) نامید.

پژوهشگران با اطمینان بالا بیان کردند که این کارزار کار اسکارکرفت بوده است؛ استنادی که بر پایه استفاده از پاب‌ناب برای ارتباطات فرمان و کنترل و به‌کارگیری فید استیلر، بدافزاری که دست‌کم از سال ۲۰۲۳ به این گروه مرتبط دانسته شده و می‌تواند صدا ضبط کند، کلیدهای فشرده‌شده را ثبت نماید و داده‌های دستگاه‌های قابل‌حمل و متصل را جمع‌آوری کند، صورت گرفته است.

اسکارکرفت که گفته می‌شود در چارچوب وزارت امنیت کشور کره شمالی فعالیت می‌کند، یکی از فعال‌ترین واحدهای هکری این کشور است و به استفاده از تاکتیک‌های مهندسی اجتماعی برای فریب قربانیان و باز کردن فایل‌های مخرب شهرت دارد.

در یک کارزار در ماه می، هکرها خود را به‌عنوان یک کارشناس امور کره شمالی و یک اندیشکده جا زده بودند تا قربانیان را به باز کردن ایمیل‌های فیشینگ ترغیب کنند.

سال گذشته، این گروه سازمان‌های رسانه‌ای و دانشگاهیان برجسته را برای جمع‌آوری اطلاعات راهبردی که می‌تواند در فرآیند تصمیم‌گیری کره شمالی نقش داشته باشد، هدف قرار داده بود.

هرچند مشخص نیست استفاده اخیر از باج‌افزار چه معنایی برای راهبرد کلی اسکارکرفت دارد، اما هکرهای وابسته به دولت کره شمالی غالباً در حملاتی با انگیزه مالی مشارکت دارند که هدف آن کمک به تأمین بودجه رژیم تحت تحریم‌های سنگین است.

در گزارشی که سال گذشته منتشر شد، سازمان ملل اعلام کرد که در حال بررسی نزدیک به ۶۰ حمله سایبری منتسب به هکرهای کره شمالی است؛ از جمله گروه‌هایی با نام‌های کیمسوکی (Kimsuky)، لازاروس (Lazarus)، آنداریل (Andariel) و بلونوروف (BlueNoroff) که به آن‌ها امکان داده است حدود ۳ میلیارد دلار را طی یک دوره شش‌ساله به سرقت ببرند.

کارشناسان سازمان ملل توضیح دادند:

وظایف اصلی این عوامل تهدید سایبری، دستیابی به اطلاعات ارزشمند برای جمهوری دموکراتیک خلق کره و کسب غیرقانونی درآمد برای این کشور است.

این اتهامی است که دولت آمریکا و سایر نهادهای بین‌المللی نیز تکرار کرده‌اند.