ضعف کاخ سفید در برابر حمله‌های گروه هک CozyDuke

گروه هک CozyDuke، که یک Advanced Persistent Threat به شمار می‌رود، دارای شباهت‌های بسیاری با دیگر گروه‌های هک ازجمله MiniDuke، CosmicDuke و OnionDuke است. محققان امنیتی کسپراسکی اطلاعاتی را منتشر کردند که جزئیات حمله به کاخ سفید و وزارت خارجه امریکا را نشان می‌دهد.

بر اساس این گزارش طبق سنت نفوذ، هکرها ابتدا در ماه اکتبر به جمع‌آوری اطلاعات شبکه کاخ سفید و شناسایی شبکه رئیس‌جمهور پرداخته‌‌اند. به‌مانند دیگر گروه‌های هک، ابتدا ایمیل‌های مخرب به سمت قربانیان ارسال می‌شود که حاوی لینک مخرب به سمت سایت‌های ظاهراً موجه، هستند. پس از دانلود فایل مخربی که در این سایت وجود دارد، بدافزار بر روی سامانه قربانی نصب می‌شود. در این نمونه فایل مخرب یک فایل با فرمت زیپ بوده که شامل RAR SFX است که بدافزار را نصب می‌کند و یک PDF خالی را نمایش می‌دهد. در نمونه دیگری هکرها یک فایل ویدئویی فلش را در قسمت وصله ایمیل قرار می‌دهند. پس از باز شدن و اجرا بدافزار CozyDuke .exe اجرا می‌شود. پس از نصب بدافزار هکرها می‌توانند دیگر بدافزارها را نیز بر روی سامانه آلوده نصب کنند.

در نوامبر پس‌ازاینکه نفوذ به سامانه کاخ سفید شناسایی شد، مقامات امنیتی کاخ سفید ارتباط سامانه‌های ایمیل را قطع کردند.

بر اساس گزارش کسپراسکی این گروه هک عامل نفوذ به دیگر سامانه‌های دولتی ازجمله آلمان، کره جنوبی و ازبکستان نیز بوده است.

محققان امنیتی به دلیل وجود توابع مشترک مانند Show.dll و استفاده از نام‌های یکسان برای توابع، همان‌طور که در شکل زیر دیده می‌شود، گروه هک CozyDuke و OnionDuke را مشترک می‌دانند.