info[at]nsec.ir
(+98)-31-33915336

ابزار جدید هکرهای کره شمالی!

خلاصه: وزارت امنیت داخلی امریکا و FBI هشداری در مورد یک بدافزار جدید مرتبط با هکرهای کره شمالی منتشر نموده‌اند. این بدافزار جدید که ElectricFish نام دارد توسط گروه هکری HiddenCobra یا لازاروس استفاده می‌شود.

 

وزارت امنیت داخلی امریکا (DHS) و FBI هشداری در مورد یک بدافزار جدید مرتبط با هکرهای کره شمالی منتشر نموده‌اند. این بدافزار جدید توسط گروه هکری HiddenCobra که از گروه‌های هکری دولتی کره شمالی است مورد استفاده قرار می‌گیرد.

گروه هکری HidenCobra که با نام لازاروس هم شناخته می‌شود از گروه‌های هکری است که گفته می‌شود تحت حمایت کره شمالی است و تا کنون حملات زیادی را در سراسر دنیا انجام داده است. اهداف این گروه هکری سازمان‌های خبری، فضایی، اقتصادی و زیرساخت‌های حیاتی کشورها در سراسر جهان است.

کارشناسان معتقدند این گروه هکری مجری بسیاری از رخداد‌های خبرساز چند سال گذشته  مانند  باج‌افزار واناکرای، حمله به شرکت سونی پیکچرز و حمله به شبکه بانکی سوییفت بوده است.

اکنون وزارت امنیت داخلی امریکا و FBI نوع جدیدی از بدافزار‌های این شرکت را کشف نموده‌اند که ELECTRICFISH نام دارد. گروه هکری HiddenCobra از این بدافزار برای تونل کردن مخفی ترافیک خود روی سیستم‌های تسخیر شده استفاده می‌نماید.

این بدافزار یک پروتکل شخصی طراحی شده را پیاده‌سازی نموده که با سرور پروکسی و پورت آن و نام کاربری و کلمه عبور پروکسی پیکربندی شده است و به هکر اجازه می‌دهد که نیازمندی به احراز هویت در سیستم تسخیر شده بیرون از شبکه را دور بزند.

در واقع بدافزار ElectricFish یک ابزار خط فرمان است که هدف اصلی آن تبادل ترافیک سریع بین دو آدرس آی‌پی است.

زمانی که ElectricFish با پروکسی پیکربندی شده احراز هویت می‌شود، به سرعت یک جلسه (session) با آدرس مقصد که بیرون از شبکه قربانی و آدرس آی‌پی‌مبدا قرار دارد ایجاد می‌نماید. با استفاده از دستورات خط فرمان آدرس مبدا و مقصد مشخص می‌گردد.

با اینکه سرت ملی امریکا، US-CERT، اعلام ننموده که آلودگی به این بدافزار وجود داشته یا نه و اگر وجود داشته چه قسمت‌هایی درگیر شده‌اند، مرکز هماهنگ گزارش تحلیل بدافزار (MAR) اعلام نموده که این هشدار به منظور تقویت قدرت دفاعی در برابر اعمال خرابکارانه سایبری دولت کره شمالی بوده است!