وزارت امنیت داخلی آمریکا(۱) و FBI یک هشدار مشترک در مورد یک دژافزار جدید (ELECTRICFISH) منتشر کردهاند که یک گروه هکری قدرتمند و از نوع (۲)APT به نام Hidden Cobra که متعلق به کره شمالی است از آن بهطور فعال و در سطح اینترنت بهرهبرداری کرده است.
اعتقاد بر این است که Hidden Cobra که بهنامهای Lazarus Group و Guardians of Peace نیز شناخته میشود، مجدداً توسط دولت کره شمالی حمایت میشود و معروف است که این گروه حملات سایبری علیه سازمانهای رسانهای، بخشهای هوا و فضا، بخشهای زیربنایی مالی و حیاتی را در سراسر جهان پیادهسازی میکند.
این گروه هکری مسئول تهدیدهایی نظیر باجگیر افزار WannaCry در سال ۲۰۱۷[۱]، موردحمله قرار دادن Sony Pictures در سال [۲]۲۰۱۴ و حمله به بانک SWIFT در سال [۳]۲۰۱۶ بود.
در حال حاضر DHS و FBI یک نوع دژافزار جدید را به نام ELECTRICFISH را کشف کردهاند که هکرهای Hidden Cobra برای مخفی کردن ترافیک از سیستمهای کامپیوتری آسیبدیده از آن استفاده میکنند.
این دژافزار یک پروتکل سفارشیشده(۳) و پیکربندیشده با یک پروکسی سرور/پورت و نام کاربری و رمز عبور پروکسی را پیادهسازی میکند و اجازه میدهد مجوز احراز هویت سیستم آسیبدیده برای دسترسی به منابع خارج از شبکه را دور بزند.
دژافزار ElectricFish یک ابزار دستور-خط(۴) است که هدف اولیه آن این است که سریعاً ترافیک بین دو آدرس IP راfunnel کند.
دژافزار ELECTRICFISH اجازه میدهد تا هکرهای Hidden Cobra با پیکربندی یک پروکسی سرور/پورت و نام کاربری و رمز عبور پروکسی، این امکان را فراهم کنند که به یک سیستم داخل یک سرور پروکسی متصل شوند، که به مهاجمان اجازه میدهد تا احراز هویت سیستمهای آلوده را دور بزنند.
در این هشدار آمده است[۴]: “این دژافزار تلاش میکند با آدرس IP منبع و آدرس IP مقصد، جلسات TCP را پیادهسازی کند. اگر اتصال به دو IP منبع و مقصد انجام شود، این ابزار موذی یک پروتکل سفارشی را اجرا خواهد کرد که به ترافیک اجازه میدهد بهسرعت و با کارایی بالا ترافیک بین دو ماشین راfunnel کند.”
“در صورت لزوم، این دژافزار میتواند با استفاده از یک پروکسی، به آدرس IP مقصد منتقل شود. سرور پروکسی پیکربندیشده برای این ابزار موردنیاز نیست.”
هنگامیکه ElectricFish با پراکسی پیکربندیشده احراز هویت شد، بلافاصله تلاش میکند تا جلسهای را با آدرس IP مقصد، خارج از شبکه قربانی و آدرس IP منبع پیدا کند. این حمله از command prompts برای تعیین منبع و مقصد برای تونل زدن ترافیک استفاده میکند.
اگرچه وبسایت US-CERT مشخص نکرده است که کدامیک از سازمانهای آمریکایی با این دژافزار جدید آلودهشدهاند، گزارش تجزیهوتحلیل مشترک این دژافزار(۵) میگوید که هشدار صادرشده عبارت است از: “بهمنظور فعالسازی سیستم دفاع شبکه و کاهشِ قرار گرفتن در معرض فعالیت سایبری مخرب دولت کره شمالی.”
این اولین بار نیست که DHS و FBI یک هشدار مشترک را برای اخطار به کاربران و سازمانها در ارتباط با دژافزار Hidden Cobra منتشر کردهاند.
در اواخر سال گذشته، به سازمانهای ایالاتمتحده در مورد دژافزار FastCash هشدار داده شد که Hidden Cobra از سال ۲۰۱۶ مورداستفاده قرار میگرفته است[۵] تا اپلیکیشن سرورهای سوئیچ پرداخت را در بانکهای آفریقا و آسیا به خطر بیندازد تا بتواند از آنها پول نقد دریافت کند.
کمی کمتر از یک سال پیش، DHS و FBI همچنین یک هشدار را در ارتباط با دو نوع دژافزار مختلف منتشر کردند [۶]: یک تروجان دسترسی از راه دور(۶) با قابلیتهای کامل با عنوان Joanap و یک کرم(۷) Server Message Block با نام Brambul که باCobra Hidden مرتبط بود.
در سال ۲۰۱۷، US-CERT نیز یک هشدار را در مورد یک دژافزار دیگر متعلق بهCobra Hidden به نام Delta Charlie منتشر کرد[۷]. Delta Charlie یک ابزار DDoS است که آنها معتقد بودند هکرهای کره شمالی از آن برای پیادهسازی حملات DDoS در برابر اهداف خود استفاده میکردند.
منابع
[۱] https://thehackernews.com/2017/05/wannacry-lazarus-north-korea.html
[۲] https://thehackernews.com/2014/12/sony-pictures-hack.html
[۳] https://thehackernews.com/2016/05/Philippines-Bank-hack.html
[۴] https://www.us-cert.gov/ncas/analysis-reports/AR19-129A
[۵] https://thehackernews.com/2018/10/bank-atm-hacking.html
[۶] https://thehackernews.com/2018/05/north-korean-hacker-hidden-cobra.html
[۷] https://thehackernews.com/2017/06/north-korea-hacking-malware.html
[۸] https://thehackernews.com/2019/05/north-korean-hacking-tool.html
(۱) The U.S. Department of Homeland Security (DHS)
(۲) Advanced persistent threat
(۳) custom
(۴) command-line
(۵) malware analysis report (MAR)
(۶) Remote Access Trojan (RAT)
(۷) worm
ثبت ديدگاه