انتشار جزئیات بدافزار FALLCHILL کره شمالی توسط دولت آمریکا

وزارت امنیت ملی آمریکا (DHS) می‌گوید، بدافزار FALLCHILL که توسط نفوذگران دولت کره شمالی استفاده شده یک ابزار مدیریت از راه دور (RAT) کاملاً کاربردی است.

وزارت امنیت ملی آمریکا  جزئیات مربوط به ابزار نفوذی را که توسط گروه تهدید وابسته به دولت کره شمالی به نام «Hidden Cobra» استفاده شده، به اشتراک گذاشته است.

عامل تهدید «Hidden Cobra» در جامعه‌ی امنیت سایبری به عنوان گروه Lazarus شناخته شده است، که معتقدند پشت چندین حمله‌ی گسترده و برجسته قرار دارد، که از جمله‌ی این حملات، حملاتی است که Sony Pictures، بانک مرکزی بنگلادش و سازمان‌های مالی لهستان را هدف قرار داد. همچنین ارتباط‌هایی بین عامل تهدید و حملات اخیر باج‌افزار گریه نیز کشف شده است، اما برخی از کارشناسان در مورد آن شک و تردید دارند.

 

 

در یک هشدار مشترک که از طرف وزارت امنیت ملی و اف‌بی‌آی اعلام شده، گزارش شده است که یک ابزار مدیریت از راه دور به نام FALLCHILL توسط دولت کره شمالی برای نفوذ به شرکت‌های هوافضا، ارتباطات راه دور، و بخش‌های مالی استفاده شده است. این هشدار، FALLCHILL را به عنوان یک ابزار مدیریت راه دور کاملاً کاربردی با دستورات متعدد توصیف می‌کند که عاملان تهدید می‌توانند به وسیله‌ی پروکسی دوطرفه از یک کارگزار فرمان و کنترل (C&C) آن را به سامانه‌ی یک قربانی انتشار دهند.

دولت آمریکا قادر به شناسایی ۸۳ گره شبکه در زیرساخت استفاده شده توسط بدافزار FALLCHILL است. این هشدار می‌گوید: «بدافزار FALLCHILL از سرآیندهای جعلی SSL برای ارتباطات استفاده می‌کند. پس از جمع‌آوری اطلاعات اولیه‌ی سامانه، درب پشتی با استفاده از یک پروتکل رمزنگاری‌شده‌ی سفارشی با سرآیندی مشابه بسته‌های TLS/SSL، شروع به برقراری ارتباط با کارگزار فرمان و کنترل می‌کند.»

در یک هشدار جداگانه که روز سه‌شنبه منتشر شد، وزارت امنیت ملی و اف‌بی‌آی فهرستی از آدرس‌های آی‌پی و سایر شاخص‌های خطر (IOC) مربوط به نوعی از تروجان Volgmer را که توسط دولت کره شمالی مورد استفاده قرار گرفته است را به اشتراک گذاشتند. این هشدار Volgmer را به عنوان یک تروجان درب پشتی توصیف می‌کند که برای ارائه‌ی دسترسی پنهانی به یک سامانه‌ی آسیب‌دیده طراحی شده است. وزارت امنیت ملی می‌گوید که حداقل ۹۴ آی‌پی ثابت برای ارتباط با زیرساخت‌های Volgmer و آدرس آی‌پی‌های پویای ثبت‌شده در کشورهای مختلف، شناسایی شده است.

بنا به گفته‌ی وزارت امنیت ملی، نفوذگران وابسته به کره شمالی حداقل از سال ۲۰۱۳ میلادی در حملات علیه دولت، بخش‌های مالی، حمل‌نقل و رسانه از بدافزار Volgmer استفاده کرده‌اند.

 

 

این هشدار بیان می‌کند که: «وزارت امنیت ملی و اف‌بی‌آی این آدرس‌های آی‌پی را برای فعال کردن سامانه‌ی امنیت شبکه در مقابل این آدرس‌های آی‌پی و کاهش خطر فعالیت‌های سایبری مخرب دولت کره شمالی توزیع می‌کنند.»

وزارت امنیت ملی هشدار داد که به نظر می‌رسد حملات فیشینگِ هدف‌دار (اِسپر فیشینگ) سازوکار اصلی انتقال آلودگی‌های Volgmer هستند. اما ااین وزارت‌خانه اضافه کرد، عاملان تهدید Hidden Cobra نیز از یک مجموعه ابزار سفارشی استفاده می‌کنند، که برخی از آن‌ها می‌توانند برای در معرض خطر قرار دادن یک سامانه مورد استفاده قرار گیرند.

در ماه ژوئن، US-CERT یک هشدار فنی منتشر کرد تا در مورد حملات منع سرویس توزیع‌شده که توسط Hidden Cobra انجام شده است، به سازمان‌ها هشدار دهد.

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید