حمله هکرهای کره شمالی به سازنده پهپاد اروپایی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یکی از فعال‌ترین گروه‌های هکری در کره شمالی، حداقل سه شرکت اروپایی تولیدکننده پهپاد و سایر تجهیزات نظامی را هدف قرار داده است.

محققان شرکت امنیت سایبری «ESET» گفتند که شواهدی از شاخه جدیدی از کمپین طولانی‌مدت «Operation DreamJob» پیدا کرده‌اند، جایی که گروه هکری لازاروس (Lazarus)، متعلق به کره شمالی، ایمیل‌های حاوی بدافزار را ارسال می‌کند که ظاهراً از طرف استخدام‌کنندگان در شرکت‌های برتر ارسال می‌شوند.

پیتر کالنای (Peter Kálnai)، محقق ESET که این کمپین را کشف کرد، گفت که حملات اخیر با هدف سرقت اطلاعات اختصاصی و دانش فنی تولید در مورد وسایل نقلیه هوایی بدون سرنشین انجام شده است. وی افزود که حداقل یکی از ایمیل‌های مخرب ردیابی شده توسط ESET به صراحت به پهپادها اشاره کرده است.

الکسیس راپین (Alexis Rapin)، تحلیلگر تهدیدات سایبری ESET، توضیح داد:

«ما شواهدی پیدا کرده‌ایم که نشان می‌دهد یکی از نهادهای مورد هدف در تولید حداقل 2 مدل پهپاد نقش دارد که در حال حاضر در اوکراین به کار گرفته می‌شوند و کره شمالی ممکن است در خط مقدم با آنها مواجه شده باشد. این نهاد همچنین در زنجیره تأمین پهپادهای تک روتور پیشرفته، نوعی هواپیما دخالت دارد که پیونگ یانگ به طور فعال در حال توسعه آن است.»

ایمیل‌های بررسی شده توسط ESET، حاوی فایل‌های پی‌دی‌اف بودند که پیشنهادهای شغلی پرسود اما جعلی را توصیف می‌کردند. بدافزاری که به این فایل‌های پی‌دی‌اف متصل بود، «ScoringMathTea» نام داشت، گونه‌ای بدافزار که به مهاجمان اجازه می‌داد دستگاه‌های آلوده را در اختیار بگیرند و اطلاعات را سرقت کنند.

ESET اعلام کرد شرکت‌های مورد حمله در بخش دفاعی اروپای مرکزی و جنوب شرقی فعال هستند. هر شرکت انواع مختلفی از تجهیزات یا قطعات نظامی را تولید می‌کند که بخش عمده‌ای از آن به لطف کمک‌های نظامی سایر کشورهای اروپایی در اوکراین استفاده می‌شود.

این شرکت امنیت سایبری مدعی شد که ایمیل‌ها درست زمانی ارسال شدند که سربازان کره شمالی در روسیه در خطوط مقدم جنگ این کشور با اوکراین مستقر شده بودند. محققان شرکت این نظریه را مطرح کردند که کره شمالی اطلاعات مربوط به پهپادها را برای کمک به سربازان خود در روسیه و کمک به تولید داخلی پهپادهای خود می‌خواست.

چندی پیش، ستاد کل اوکراین بیانیه‌ای منتشر و ادعا کرد که نیروهای کره شمالی را در شهر کورسک روسیه دیده که از پهپادهای شناسایی برای یافتن مواضع نظامی اوکراین استفاده می‌کردند. در این بیانیه آمده است:

«نیروهای دفاعی اوکراین ارتباطات بین اپراتورهای پهپاد کره شمالی و پرسنل ارتش روسیه را رهگیری کرده‌اند. اپراتورهای پهپاد کره شمالی آتش چندین سیستم پرتاب موشک را علیه مواضع اوکراین تنظیم کردند.»

محققان استفاده از بدافزار ScoringMathTea را تا اکتبر 2022 ردیابی کردند، زمانی که در حملات به سازمان‌هایی در پرتغال و آلمان به عنوان بخشی از ایمیل‌های جعلی پیشنهاد شغل که ظاهراً از شرکت فرانسوی ایرباس ارسال شده بودند، مورد استفاده قرار گرفت.

این بدافزار گنجینه‌ای از اطلاعات در مورد سیستم قربانی را در اختیار مهاجمان قرار می‌دهد و دروازه‌ای برای عوامل تهدید جهت انجام اقدامات بیشتر فراهم می‌کند.

ESET پیش از این، حملات مربوط به ScoringMathTea را در شرکت‌هایی در هند، لهستان، بریتانیا و اخیراً ایتالیا ردیابی کرده بود. محققان گفتند که به نظر می‌رسد این بدافزار از ویژگی‌های بارز کمپین Operation DreamJob باشد.

کالنای گفت:

«لازاروس نزدیک به 3 سال یک روش عملیاتی ثابت را حفظ، بار داده اصلی مورد نظر خود، ScoringMathTea، را مستقر و از روش‌های مشابهی برای تروجان‌سازی برنامه‌های متن‌باز استفاده کرده است.»

کارشناسان تهدید در چندین شرکت از سال ۲۰۲۰ کمپین Operation DreamJob را ردیابی کرده‌اند. گوگل در سال ۲۰۲۲ هشدار داد که ۲۵۰ نفر که برای ۱۰ رسانه خبری مختلف، ثبت‌کننده دامنه، ارائه‌دهنده میزبانی وب و فروشندگان نرم‌افزار کار می‌کردند، هدف این کمپین قرار گرفتند و ایمیل‌های مخربی از استخدام‌کنندگان جعلی که ادعا می‌کردند از دیزنی، گوگل و اوراکل هستند، دریافت کردند.

این ایمیل‌ها حاوی لینک‌های جعلی به سایت‌های کاریابی قانونی مانند «Indeed» و «ZipRecruiter» بودند.

گروه لازاروس، پرچمدار عملیات‌های هک کره شمالی است و به تسهیل طرح دیرینه کارگران فناوری اطلاعات، سرقت میلیاردها دلار ارز دیجیتال از پلتفرم‌های بلاک‌چین و میلیون‌ها دلار از شرکت‌های آمریکایی متهم شده است.