حمله منحصر بفرد هکرهای کره شمالی به سازمان‌های آمریکایی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، دو نوع اصلی از باج‌خواهی سایبری وجود دارد: باج‌افزار، که داده‌ها را رمزگذاری کرده و برای رمزگشایی آن‌ها تقاضای پرداخت می‌کند، و حملات منع سرویس (DDoS) که در آن مهاجمان شبکه را با ترافیک ناخواسته غرق می‌کنند.

تیم شکار تهدیدات سیمانتک (Symantec) به‌تازگی کشف کرده است که هکرهای کره شمالی به‌طور فعال به سازمان‌های آمریکایی با استفاده از ابزارهای هک منحصربه‌فرد حمله می‌کنند.

گروه هکری بدنام کره شمالی به نام استون فلای (Stonefly) معروف به آنداریل (Andariel)، ای پی تی ۴۵ (APT45)، سایلنت کالیما (Silent Chollima) و اونیکس اسلیت (Onyx Sleet)، به‌طور فعال حملات سایبری علیه سازمان‌های مستقر در آمریکا را اجرا کرده است.

این گروه در اوت ۲۰۲۳ به سه سازمان مختلف آمریکایی، علی‌رغم مواجهه با عواقب قانونی شامل اتهامات و پاداش چند میلیون دلاری برای دستگیری آن‌ها، نفوذ کرد.

سلاح اصلی آن‌ها بدافزار پیچیده‌ای به نام درب پشتی پرفت (Backdoor.Preft) که همچنین با نام‌های دیترک (Dtrack) یا ویلفور (Valefor) نیز شناخته می‌شود است که با عملیات‌های آن‌ها مرتبط است.

مهاجمان از تکنیک‌های گمراه‌کننده‌ای مانند گواهینامه جعلی تابلو (Tableau) و دو گواهینامه منحصربه‌فرد مرتبط با این کمپین استفاده کرده‌اند.

گواهینامه جعلی تابلو قبلاً توسط مایکروسافت مستند شده بود.

ماهیت اهداف این حملات به‌شدت نشان می‌دهد که این حملات از نظر مالی انگیزه دارند، اما تلاش‌های آن‌ها برای اجرای باج‌افزار ناموفق بوده است.

این رویدادها تهدید مداوم ناشی از مهاجمان تحت حمایت دولتی را نشان می‌دهد.

سیمانتک اضافه کرد که تاکتیک‌های در حال تکامل آن‌ها در دور زدن تدابیر امنیت سایبری، نیاز فوری به سیستم‌های دفاعی امنیتی قوی و همکاری بین‌المللی در حوزه امنیت سایبری را برجسته می‌کند.

از جمله ابزارهای دیگر مورد استفاده این هکرها می‌توان به موارد زیر اشاره نمود:

- Preft
- Nukebot
- فایل‌های Batch
- Mimikatz
- Keyloggers
- Sliver
- Chisel
- PuTTY
- Plink
- Megatools
- Snap2HTML
- FastReverseProxy (FRP)

در تاریخ ۲۵ ژوئیه ۲۰۲۴، وزارت دادگستری آمریکا رسماً ریم جونگ هیوک (Rim Jong Hyok)، اپراتور سایبری کره شمالی را به‌دلیل انجام مجموعه‌ای از حملات سایبری پیچیده متهم کرد.

ریم جونگ هیوک عضو تایید شده گروه هکری پیشرفته استون فلای است.

این حملات که با استفاده از باج‌افزار صورت گرفت، ابتدا بین سال‌های ۲۰۲۱ تا ۲۰۲۳ ارائه‌دهندگان خدمات درمانی در آمریکا را هدف قرار داد.

مبالغ باج دریافتی از طریق شبکه‌های ارز دیجیتال پول‌شویی شد.

بعدها این وجوه برای عملیات‌های سایبری پیشرفته‌تری علیه اهداف برجسته مانند تاسیسات نیروی هوایی آمریکا، دفتر بازرس کل ناسا (NASA-OIG) و سازمان‌های دیگر در تایوان، کره جنوبی و چین تأمین شد.

تکامل فنی این گروه به دلایل زیر قابل توجه است:

- شروع با حملات منع سرویس ساده در سال ۲۰۰۹ که ظرفیت سرورها را تحت تأثیر قرار داد.

- پیشرفت به سمت استفاده از ابزارهای پیشرفته‌تری مانند تروجان درب پشتی پریوکسر (Backdoor.Prioxer) در سال ۲۰۱۱ برای دسترسی مخفی به سیستم‌ها.

- استفاده از بدافزار تخریبی پاک‌کننده دیسک تروجان جوکرا (Trojan.Jokra) در سال ۲۰۱۳ علیه نهادهای کره جنوبی.

- ارتقای قابل‌توجه توانایی‌های گروه تا سال ۲۰۱۹ و تمرکز بر جاسوسی سایبری با استفاده از تکنیک‌های APT.

علی‌رغم اینکه وزارت امور خارجه آمریکا برای اطلاعاتی که منجر به دستگیری ریم جونگ هیوک شود، جایزه ۱۰ میلیون دلاری تعیین کرده است، اما گروه استون فلای همچنان به کمپین دوگانه خود علیه نهادهای آمریکایی ادامه می‌دهد.