کمیته رکن چهارم – وزارت امنیت ملی آمریکا (DHS) میگوید، بدافزار FALLCHILL که توسط نفوذگران دولت کره شمالی استفاده شده یک ابزار مدیریت از راه دور (RAT) کاملاً کاربردی است.
وزارت امنیت ملی آمریکا جزئیات مربوط به ابزار نفوذی را که توسط گروه تهدید وابسته به دولت کره شمالی به نام «Hidden Cobra» استفاده شده، به اشتراک گذاشته است.
عامل تهدید «Hidden Cobra» در جامعهی امنیت سایبری به عنوان گروه Lazarus شناخته شده است، که معتقدند پشت چندین حملهی گسترده و برجسته قرار دارد، که از جملهی این حملات، حملاتی است که Sony Pictures، بانک مرکزی بنگلادش و سازمانهای مالی لهستان را هدف قرار داد. همچنین ارتباطهایی بین عامل تهدید و حملات اخیر باجافزار گریه نیز کشف شده است، اما برخی از کارشناسان در مورد آن شک و تردید دارند.
در یک هشدار مشترک که از طرف وزارت امنیت ملی و افبیآی اعلام شده، گزارش شده است که یک ابزار مدیریت از راه دور به نام FALLCHILL توسط دولت کره شمالی برای نفوذ به شرکتهای هوافضا، ارتباطات راه دور، و بخشهای مالی استفاده شده است. این هشدار، FALLCHILL را به عنوان یک ابزار مدیریت راه دور کاملاً کاربردی با دستورات متعدد توصیف میکند که عاملان تهدید میتوانند به وسیلهی پروکسی دوطرفه از یک کارگزار فرمان و کنترل (C&C) آن را به سامانهی یک قربانی انتشار دهند.
دولت آمریکا قادر به شناسایی ۸۳ گره شبکه در زیرساخت استفاده شده توسط بدافزار FALLCHILL است. این هشدار میگوید: «بدافزار FALLCHILL از سرآیندهای جعلی SSL برای ارتباطات استفاده میکند. پس از جمعآوری اطلاعات اولیهی سامانه، درب پشتی با استفاده از یک پروتکل رمزنگاریشدهی سفارشی با سرآیندی مشابه بستههای TLS/SSL، شروع به برقراری ارتباط با کارگزار فرمان و کنترل میکند.»
در یک هشدار جداگانه که روز سهشنبه منتشر شد، وزارت امنیت ملی و افبیآی فهرستی از آدرسهای آیپی و سایر شاخصهای خطر (IOC) مربوط به نوعی از تروجان Volgmer را که توسط دولت کره شمالی مورد استفاده قرار گرفته است را به اشتراک گذاشتند. این هشدار Volgmer را به عنوان یک تروجان درب پشتی توصیف میکند که برای ارائهی دسترسی پنهانی به یک سامانهی آسیبدیده طراحی شده است. وزارت امنیت ملی میگوید که حداقل ۹۴ آیپی ثابت برای ارتباط با زیرساختهای Volgmer و آدرس آیپیهای پویای ثبتشده در کشورهای مختلف، شناسایی شده است.
بنا به گفتهی وزارت امنیت ملی، نفوذگران وابسته به کره شمالی حداقل از سال ۲۰۱۳ میلادی در حملات علیه دولت، بخشهای مالی، حملنقل و رسانه از بدافزار Volgmer استفاده کردهاند.
این هشدار بیان میکند که: «وزارت امنیت ملی و افبیآی این آدرسهای آیپی را برای فعال کردن سامانهی امنیت شبکه در مقابل این آدرسهای آیپی و کاهش خطر فعالیتهای سایبری مخرب دولت کره شمالی توزیع میکنند.»
وزارت امنیت ملی هشدار داد که به نظر میرسد حملات فیشینگِ هدفدار (اِسپر فیشینگ) سازوکار اصلی انتقال آلودگیهای Volgmer هستند. اما ااین وزارتخانه اضافه کرد، عاملان تهدید Hidden Cobra نیز از یک مجموعه ابزار سفارشی استفاده میکنند، که برخی از آنها میتوانند برای در معرض خطر قرار دادن یک سامانه مورد استفاده قرار گیرند.
در ماه ژوئن، US-CERT یک هشدار فنی منتشر کرد تا در مورد حملات منع سرویس توزیعشده که توسط Hidden Cobra انجام شده است، به سازمانها هشدار دهد.
منبع : news.asis.io
