مطالب پربازدید

1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

1404/11/23 - 17:54- سایرفناوری ها

تأثیر کمبود تراشه‌های حافظه بر عرضه رایانه‌های شخصی

گروه لنوو چین در مورد افزایش فشار بر عرضه رایانه‌های شخصی به دلیل کمبود فزاینده تراشه‌های حافظه هشدار داد.

1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

کامیار عزیزی

انتشار شده در تاریخ 1404/12/06 - 09:56

استفاده هکرهای کره شمالی از باج‌افزار مدوسا علیه آمریکا و خاورمیانه

هکرهای وابسته به یکی از پیشرفته‌ترین گروه‌های مورد حمایت دولت کره شمالی در حال استقرار باج‌افزار مدوسا در حملات با انگیزه مالی علیه دست‌کم دو نهاد مشاهده شده‌اند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، کارشناسان امنیت سایبری شرکت سیمانتک (Symantec) اعلام کردند که اعضای گروه لازاروس (Lazarus Group)، گروه شناخته‌شده هکری کره شمالی که در ساختار نظامی این کشور فعالیت می‌کند، حملاتی با مدوسا (Medusa) علیه یک شرکت در خاورمیانه و یک سازمان حوزه سلامت در ایالات متحده انجام داده‌اند.

مدوسا بر اساس مدل باج‌افزار به‌عنوان سرویس (RaaS) فعالیت می‌کند؛ به این معنا که همکاران می‌توانند با استفاده از این بدافزار حمله انجام دهند و درصدی از مبلغ باج را به توسعه‌دهندگان آن پرداخت کنند.

این گروه در سال ۲۰۲۳ ظهور کرد و از آن زمان بیش از ۳۵۰ حمله انجام داده است.

کارشناسان این فعالیت‌ها را به یک گروه بزرگ‌تر جرایم سایبری به نام اسپیر وینگ (Spearwing) نسبت داده‌اند.

دیک اوبراین، تحلیلگر ارشد اطلاعاتی در سیمانتک ، اشاره کرد که بازیگران کره شمالی پیش‌تر از گونه‌های باج‌افزاری مانند مائوی (Maui) و پلی (Play) استفاده کرده بودند، اما این نخستین بار است که استفاده آن‌ها از مدوسا ردیابی شده است.

او بیان کرد:

گزارش شده بود که مائوی توسط خود گروه لازاروس توسعه یافته، اما به‌نظر می‌رسد اخیراً به سمت استفاده از مدل‌های باج‌افزار به‌عنوان سرویس حرکت کرده‌اند.

نهادهای مجری قانون آمریکا در سال ۲۰۲۲ درباره استفاده کره شمالی از باج‌افزار مائوی هشدار دادند و اعلام کردند این هکرها بیمارستان‌ها و شرکت‌های حوزه سلامت آمریکا را هدف قرار می‌دهند.

در سال ۲۰۲۴، حکم بازداشت فدرال برای ریم جونگ هیوک صادر شد؛ فردی که گفته می‌شود عضو واحد آنداریل (Andariel) در سازمان اطلاعاتی کره شمالی یعنی RGB است.

چندین نهاد نظامی آمریکا، ریم را مسئول چندین حمله باج‌افزاری با استفاده از گونه مائوی در سال‌های ۲۰۲۱ و ۲۰۲۲ معرفی کردند.

دست‌کم یکی از این حملات یک بیمارستان در ایالت کانزاس را هدف قرار داد؛ همان‌جایی که حکم بازداشت او صادر شد.

این حملات باعث رمزگذاری رایانه‌ها و سرورهای مرتبط با آزمایش‌های پزشکی یا پرونده‌های الکترونیکی بیماران شد و خدمات درمانی در مراکز ایالت‌های کانزاس، کلرادو و سایر ایالت‌ها را مختل کرد.

اف بی آی اعلام کرد تحقیقات نشان داده ریم و سایر اعضای آنداریل پنج ارائه‌دهنده خدمات سلامت، چهار پیمانکار دفاعی مستقر در آمریکا، دو پایگاه نیروی هوایی ایالات متحده و دفتر بازرس کل ناسا را هدف قرار داده‌اند.

نهادهای آمریکایی گفتند ریم از مبالغ باج برای خرید سرورهایی استفاده کرده که بعدها در عملیات‌های جاسوسی سایبری علیه سازمان‌های دولتی و مشتریان در آمریکا، کره جنوبی و چین به کار گرفته شدند.

وزارت خارجه آمریکا نیز برای ارائه اطلاعات درباره ریم که بنا بر اعلام دولت آمریکا آخرین بار در کره شمالی حضور داشته، جایزه‌ای ۱۰ میلیون دلاری تعیین کرده است.

اوبراین اظهار داشت که نمی‌تواند این موضوع را به‌طور قطعی تأیید کند، اما معتقد است حملات اخیر با مدوسا نیز توسط آنداریل انجام شده‌اند؛ واحدی که مجریان قانون آن را زیرمجموعه‌ای از لازاروس می‌دانند.

سیمانتک اعلام کرد پس از صدور کیفرخواست، اعضای آنداریل سه حمله دیگر با انگیزه مالی در اکتبر ۲۰۲۴ علیه سازمان‌هایی در آمریکا انجام دادند، هرچند در آن موارد باج‌افزار با موفقیت مستقر نشد.

همان ماه، یک شرکت امنیت سایبری دیگر اعلام کرد که عوامل کره شمالی را در حال استفاده از باج‌افزار پلی مشاهده کرده است.

سیمانتک توانست حملات اخیر مدوسا را به کره شمالی نسبت دهد؛ زیرا در آن‌ها از ابزارهای سفارشی مورد استفاده انحصاری لازاروس بهره گرفته شده بود، از جمله یک ابزار در پشتی (backdoor)، بدافزار اختصاصی و استخراج‌کننده رمز عبور مرورگر کروم.

این گزارش پس از آن منتشر می‌شود که طی دو سال گذشته چندین شرکت امنیت سایبری درباره افزایش هماهنگی میان دولت‌ها و مجرمان سایبری هشدار داده‌اند.

گروه‌های وابسته به دولت‌ها از روسیه، چین، کره شمالی و ایران که پیش‌تر عمدتاً در عملیات‌های جاسوسی یا انتشار اطلاعات نادرست فعالیت داشتند، اکنون از باج‌افزار به‌عنوان ابزاری برای کسب درآمد از عملیات‌های تهاجمی سایبری خود یا پوشش دادن به اهداف سایبری دیگر استفاده می‌کنند.

چندین باند باج‌افزاری در آغاز حمله روسیه به اوکراین آشکارا از مسکو حمایت کردند و شرکت گوگل اعلام کرد اعضای پیشین گروه بدنام باج‌افزاری کانتی (Conti) بسیاری از ابزارهای خود را برای حمله به سازمان‌های اوکراینی بازطراحی کرده‌اند.

در چندین مورد، باج‌افزار به‌عنوان پوششی برای فعالیت‌های جاسوسی چین استفاده شده است.

نهادهای مجری قانون همچنین مواردی را مشاهده کرده‌اند که در آن هکرهای دولتی ایرانی از دسترسی رسمی خود برای انجام حملات با انگیزه مالی استفاده کرده‌اند؛ به‌عبارتی با بهره‌برداری مضاعف (double-dip) و فعالیت جانبی به‌عنوان مجرمان سایبری، مهارت‌های هکری خود را به پول تبدیل کرده‌اند.

اف بی آی پیش‌تر اعلام کرده بود عوامل ایرانی را در حال همکاری با وابستگان عملیات‌های باج‌افزاری نو اسکیپ (NoEscape)، رنسوم هاوس (Ransomhouse) و ای ال پی اچ وی (AlphV) مشاهده کرده و آن‌ها در نهایت درصدی از مبالغ باج را دریافت می‌کرده‌اند.