اخیرا محققان امنیت سایبری موفق به کشف کمپین های جاسوسی پیشرفته علیه سازمان های نظامی و هوافضا در اروپا و خاورمیانه شده اند. هکرها با هدف قرار دادن کارمندان رده بالای این سازمان ها در قبال شغل مناسب با درآمد بالا حملات خود را پیاده سازی می کردند.

طبق گزارشات جدیدی که متخصصان امنیت سایبری منتشر کرده اند، این کمپین ها بین سپتامبر تا دسامبر سال 2019 با نام “عملیات In(ter)ception” و با تکیه بر بدافزارهای سفارشی شروع به فعالیت کرده اند. طبق گفته محققان، “هدف اصلی این عملیات ها صرفا اعمال جاسوسی بوده است اما در یكی از مواردی كه ما تحقیق كردیم ماجرا کمی تغییر کرده بود، مهاجمان سایبری در انتهای عملیات های خود سعی می کردند از طریق حمله به ایمیل های مشاغل تجاری (BEC) و از طریق دسترسی به حساب های قربانیان کسب درآمد هم کنند.”

با جمع بندی تحلیل های به دست آمده، انگیزه مالی حملات و همچنین بررسی محیط های هدف گذاری شده، محققان امنیتی به گروه هکرهای Lazarus که در کره شمالی مستقر هستند مشکوک شده اند. این گونه متدها و رفتارهای حمله و همچنین محیط هدف گذاری شده غالبا با رفتارهای گروه هکری Lazarus مستقر در کره شمالی همخوانی دارد و محققان امنیتی به این گروه مشکوک هستند.

مهندسی اجتماعی از طریق سایت LinkedIn

محققان شرکت امنیتی ESET با بیان اینکه این کمپین بسیار هدفمند بوده، اظهار داشت: هکرها برای فریب کارمندان شاغل در سازمان های نظامی و هوافضا از ویژگی پیام رسان LinkedIn استفاده می کردند. هکرهاخود را به عنوان مدیر منابع انسانی شرکت های بزرگ در صنایع دفاعی و هوافضا معرفی کرده و از قربانیان خود دعوت به همکاری با حقوق و مزایای بالا می کردند.

هکرها در گام بعدی و پس از اینکه موفق می شدند قربانیان خود را فریب دهند، فایل ضمیمه ایی مربوط به شرایط کاری و استخدامی برای آنها ارسال می کردند. کارمندان از همه جا بی خبر فایل ضمیمه شده که آلوده به بدافزار می باشد را در سیستم خود باز میکردند و بدین گونه سیستم های آنها آلوده به بدافزار میشد.

فایل های ضمیمه با فرمت RAR به طور مستقیم از طریق گپ های آنلاین یا به صورت پست الکترونیکی برای قربانیان ارسال می شده، و در گفتگوها به آنها گفته می شده که حاوی یک سند PDF است. محتویات این سند مربوط به اطلاعات حقوق و دستمزد و شرح موقعیت های شغلی است، هنگامی که شخص قربانی این فایل ها را در سیستم عامل ویندوز خود اجراکند، پروسه Command Prompt جهت انجام اقدامات بعدی هکر و به دور از چشم کاربر فعال می شود .

  (سخن نویسنده: آموزش امنیت سایبری کارکنان یک سازمان همیشه باید در اولویت باشد)

هکرها در پشت این عملیات با بدست آوردن جایگاه اولیه در سازمان مورد هدف و با به کار گیری دانلودر malware که قبلا همراه با فایل های ضمیمه دانلود شده بود، پیلود نهایی خود (پیلود خام و بدون ترکیب با فایل دیگری) را در سیستم لود می کنند تا نقش بکدور را برای آنها داشته باشد.

بکدور نوشته شده با زبان ++C بطور دوره ای درخواست هایی را به سمت سرور تحت کنترل مهاجم ارسال می کند، بر اساس دستورات دریافت شده اقدامات از پیش تعریف شده را انجام می دهد و اطلاعات جمع آوری شده را با فرمت فایل RAR از طریق نسخه اصلاح شده dbxcli (یک کلاینت command-line منبع باز برای Dropbox) استخراج می کند.

هکرها در این عملیات از ابزارهای بومی ویندوزی مانند “certutil” جهت رمزگشایی (رمزگذاری شده با base64) پیلودهای دانلود شده و از فرآیندهای “rundll32” و “regsvr32” برای اجرای بدافزارهای سفارشی خود استفاده می کردند.

حملات BEC با انگیزه مالی

علاوه بر مواردی که از این عملیات ذکر شد، محققان ESET  شواهدی بدست آورده اند که نشان می دهد مهاجمان سایبری سعی در سوء استفاده و بهره برداری از حساب های مختلف و استخراج پول از شرکت های دیگر داشتند.

طبق گفته محققان امنیتی این گونه حملات تقریبا ناموفق بوده و در این حوزه هکرها خوب عمل نکردند.

نتایج این تحقیقات در مورد عملیات In(ter)ception نشان می دهد که حملاتی همچون فیشینگ چقدر می تواند برای یک سازمان خطر آفرین باشد و باید این نکته را در نظر داشت که موفقیت آمیز بودن این گونه حملات عمدتا از ناآگاهی های سایبری کارکنان یک سازمان نشات می گیرد.