هاكرز يتنكرون كمجندين لاختراق موظفي شركات الدفاع
نشرت وكالة الأمن السيبراني والبنية التحتية للولايات المتحدة (CISA) جديد تقرير يقال إن شركات التحذير حول البرامج الضارة الجديدة التي يستخدمها المتسللون الكوريون الشماليون للتجسس على الموظفين الرئيسيين في شركات التعاقد الحكومية. يطلق عليه اسم "Blindingcan، "يعمل طروادة Advanced Access Access بمثابة الباب الخلفي عند تثبيته على أجهزة الكمبيوتر المعرضة للخطر
متابعات-ميكسي نيوز
يطلق عليه اسم “Blindingcan، “يعمل طروادة Advanced Access Access بمثابة الباب الخلفي عند تثبيته على أجهزة الكمبيوتر المعرضة للخطر.
وفقًا لمكتب التحقيقات الفيدرالي و CISA ، ينشر المتسللون الذين ترعاهم الدولة الكورية الشمالية لازاروس ، المعروف أيضًا باسم Hidden Cobra ، Blindingcan “لجمع الذكاء المحيط بتقنيات العسكرية والطاقة الرئيسية”.
لتحقيق ذلك ، يحدد المهاجمون أولاً أهدافًا عالية القيمة ، وأداء أبحاث مكثفة على شبكاتهم الاجتماعية والمهنية ، ثم يطرحون كموظفين لإرسال مستندات ضارة محملة بالبرامج الضارة ، وتنكر الإعلانات والعروض الوظيفية.
ومع ذلك ، فإن هذه عمليات الاحتيال في التوظيف واستراتيجيات الهندسة الاجتماعية ليست جديدة وكانت مؤخرًا رصدت يتم استخدامه في حملة أخرى مماثلة للتجسس السيبراني من قبل المتسللين الكوريين الشماليين ضد قطاع الدفاع الإسرائيلي.
وقالت وزارة الخارجية في إسرائيل: “لقد بنوا ملفات تعريف مزيفة على LinkedIn ، وهي شبكة اجتماعية تستخدم في المقام الأول لعمليات البحث عن الوظائف في قطاع التكنولوجيا الفائقة”.
“انتحل المهاجمون المديرين والمديرين التنفيذيين والمسؤولين البارزين في إدارات الموارد البشرية ، وكذلك ممثلي الشركات الدولية ، واتصلوا بالموظفين في الصناعات الدفاعية الرائدة في إسرائيل ، بهدف تطوير المناقشات وتغريهم بفرص عمل مختلفة.
“في عملية إرسال عروض الوظائف ، حاول المهاجمون تسوية أجهزة الكمبيوتر لهؤلاء الموظفين ، للتسلل إلى شبكاتهم وجمع معلومات أمنية حساسة. حاول المهاجمون أيضًا استخدام مواقع الويب الرسمية للعديد من الشركات من أجل اختراق أنظمتهم.”
يقول تقرير CISA أن المهاجمين يتحكمون عن بعد في البرامج الضارة العمياء من خلال البنية التحتية المعرضة للخطر من بلدان متعددة ، مما يسمح لهم بما يلي:
- استرداد المعلومات حول جميع الأقراص المثبتة ، بما في ذلك نوع القرص ومقدار المساحة الحرة على القرص
- إنشاء وبدء وإنهاء عملية جديدة وخيطها الأساسي
- البحث والقراءة والكتابة والتحرك وتنفيذ الملفات
- الحصول على وتعديل الملف أو الدليل الطابع الزمني
- تغيير الدليل الحالي لعملية أو ملف
- حذف البرامج الضارة والتحف المرتبطة بالبرامج الضارة من النظام المصاب.
شركات الأمن السيبراني الاتجاه الميكرو و Clearsky كما وثق هذه الحملة في تقرير مفصل يشرح:
“عند العدوى ، جمع المهاجمون الذكاء فيما يتعلق بنشاط الشركة ، وأيضًا شؤونها المالية ، ربما لمحاولة سرقة بعض الأموال منه. السيناريو المزدوج للتجسس وسرقة المال فريدة من نوعها لكوريا الشمالية ، التي تدير وحدات الاستخبارات التي تسرق كل من المعلومات والمال لبلدهم.”
وفقًا لهذا التقرير ، لم يتصل المهاجمون الكوريون الشماليون بأهدافهم فقط عبر البريد الإلكتروني ، ولكنهم أجروا أيضًا مقابلات على الإنترنت وجهاً لوجه ، ومعظمهم على Skype.
وقال الباحثون: “الحفاظ على الاتصال المباشر ، إلى جانب إرسال رسائل البريد الإلكتروني الخادعة ، أمر نادر نسبيًا في مجموعات التجسس في الدولة القومية (APTS) ؛ ومع ذلك ، كما سيظهر في هذا التقرير ، تبنى Lazarus هذا التكتيك لضمان نجاح هجماتهم”.
أصدرت CISA معلومات فنية للمساعدة في الكشف والإسناد ، وكذلك الموصى بها مجموعة متنوعة من الإجراءات الوقائية لتقليل إمكانية هذا النوع من الهجوم بشكل كبير.
