روش‌های جدید DarkHotel برای حمله به سیاستمداران

ویرایش شده در by زنگی

روش‌های جدید DarkHotel برای حمله به سیاستمداران

براساس گزارش شرکت بیت‌دیفندر در هفته جاری ، گروه تهدید DarkHotel با استفاده از روش‌های جدید در حملات خود، کارکنان دولتی را هدف قرار داده است. این گروه در حملات سایبری به کره‌ی شمالی متمرکز شده است.

فعالیت‌های گروه DarkHotel در ماه نوامبر ۲۰۱۴، زمانی که کسپرسکی گزارش خود را منتشر کرد، آشکار شد. آن زمان در قالب یک حمله، مسافران تجاری در منطقه آسیا-اقیانوس آرام هدف قرار گرفته بودند. این گروه تقریباً برای یک دهه فعال بوده و برخی محققان معتقدند که اعضای آن کره‌ای هستند.

مهاجمان این گروه، قربانیان را با استفاده از روش‌های مختلفی مانند وای‌فای هتل، بهره‌برداری‌های روز-صفرم و وب‌گاه‌های به‌اشتراک‌گذاری نظیر به نظیر هدف قرار داده‌اند. تقریباً یک سال قبل این گروه از روش جدیدی استفاده کرده و یک بهره‌برداری از نهاد سازنده‌ی جاسوس‌افزار در ایتالیا با نام Hacking Team افشاء شد.

قربانیان DarkHotel در چندین کشور از جمله کره شمالی، روسیه، کره جنوبی، ژاپن، بنگلادش، تایلند، تایوان، چین، آمریکا، هند، موزامبیک، اندونزی و آلمان مشاهده شده‌اند. تا همین اواخر، به نظر می‌رسید حملات بر روی مدیران شرکت، محققان و کارکنان توسعه از بخش‌های مختلف از قبیل پایگاه صنعت دفاعی، نظامی، انرژی، دولت، سازمان‌های غیردولتی، تولید الکترونیک، داروسازی و پزشکی متمرکز شده است.

روش‌های جدید DarkHotel برای حمله به سیاستمداران
hotel a neon sign in the night

گزارش بیت‌دیفندر

بیت‌دیفندر حملات اخیر این گروه را Inexsmar نام‌گذاری کرده و می‌گوید این گروه چهره‌ی سیاسی خود را نشان داده و ظاهراً از روش‌های جدیدی هم استفاده کرده است. تجریه و تحلیل‌های بیت‌دیفندر بر روی نمونه‌هایی از ابزارهای این گروه، متعلق به دسامبر سال ۲۰۱۶ میلادی انجام شده است.

اولین بارگیری‌کننده‌ی تروجان، از طریق رایانامه‌های فیشینگ توزیع می‌شود. در ادامه اطلاعات ماشین هدف را جمع‌آوری کرده و برای کارگزارهای دستور و کنترل ارسال می‌کند. اگر سامانه‌ی مورد

نظر شرایط لازم را دارا بود، بارگیری‌کننده‌ی مرحله‌ی اول DarkHotel، به‌عنوان مؤلفه‌ای از OpenSSL مبادله شده و در ادامه واکشی می‌شود.

در ضمن، در تلاش برای جلوگیری از افزایش سوءظن‌ها به این نرم‌افزارهای مخرب، یک سند با عنوان «فهرست رایانامه‌های پیونگ‌یانگ – سپتامبر ۲۰۱۶» باز می‌شود که فهرستی از رایانامه‌های متعلق به سازمان‌های مختلف در پایتخت کره شمالی را ارائه می‌دهد. اگر پروفایل سامانه‌ی مورد نظر با آن چیزی که تروجان می‌خواهد، مطابقت نداشت، کارگزار دستور و کنترل یک رشته‌ی «شکست» را برگردانده و حمله خاتمه می‌یابد. ولی اگر حمله ادامه پیدا کند، بار داده‌ی مرحله‌ی دوم نیز بازیابی خواهد شد.

ابهام در میزان تلفات

زمانی‌که بیت‌دیفندر نمونه‌های این بدافزار را تجزیه و تحلیل کرد، کارگزار دستور و کنترل آن از حالت برخط خارج شده بود. این مسئله باعث شد تا نتوان فهمید که چه کسانی قربانی این حملات بوده‌اند و شدت آسیب و صدمات چقدر بوده است. باتوجه به ساختار پیام‌های فیشینگ، به نظر می‌رسد افرادی که در بخش‌های دولتی کار می‌کنند و علاقه‌مند به شرایط سیاسی در کره‌ی شمالی هستند، قربانیان اصلی این حملات بوده‌اند.

محققان معتقدند اگر این گروه از بهره‌برداری‌ها به‌طور مستقیم استفاده می‌کردند، انعطاف بیشتری در توزیع بدافزار داشتند ولی با این حال از روش‌های مهندسی اجتماعی و بارگیریِ چندمرحله‌ای استفاده کرده‌اند تا روند شناسایی حملات سخت‌تر شده و بتوان تروجان را به‌روز نگه داشت.

روش‌های جدید DarkHotel برای حمله به سیاستمداران

 

این نوشته تا چه حد مفید بود؟
[Total: 0 Average: 0]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.