هکرهای وابسته به دولت کره شمالی ظاهراً مدتی است که در یک حمله سازمانیافته، محققان امنیتی را هدف قرار دادهاند. یکی از تکنیکهای جدید آنها استفاده از لینکدین برای جعل هویت و استخدام این محققان است تا بهنحوی یک فایل آلوده را برای آنها ارسال و با دسترسی به سیستم قربانی بتوانند به شرکت محل کار آنها نفوذ کنند.
شرکت امنیت سایبری Mandiant اخیراً در گزارشی اعلام کرده است که اولینبار این حملات را در ماه ژوئن سال گذشته شناسایی کرده و متوجه شده است که هکرها یک فرد آمریکایی را هدف قرار داده بودند. مهاجمان در این حملات از سه گروه بدافزار به نامهای Touchmove ,Slideshow و Touchshift استفاده میکردند.
هکرهای کره شمالی تظاهر میکنند بهدنبال جذب نیرو هستند
این شرکت باور دارد که گروه هکری موسوم به UNC2970 در ماههای گذشته بهطور خاص محققان امنیتی و همچنین چند شرکت رسانهای را هدف قرار داده است. هکرها همچنین حملهای را در قالب استخدام محققان ترتیب داده بودند تا آنها را برای نصب بدافزار روی دستگاه خود فریب دهند.
در این حمله مهاجمان حسابهایی را بهشکل تقلبی روی لینکدین ایجاد میکنند تا خود را بهجای کارشناسان نیروی انسانی دیگر شرکتها جا بزنند. سپس در گفتوگو با محققان، از آنها میخواهند تا فایلی را دانلود کنند. این فایل معمولاً یک فایل ورد مایکروسافت است که بدافزاری بهصورت ماکرو در آن کار گذاشته شده و پس از اجرا توسط قربانی میتواند سیستم او را آلوده کند.
درنهایت کدهایی از سمت سرور کنترل و فرمان به سیستم قربانی داده میشد تا یک در پشتی در دستگاه باز شود و هکرها بتوانند سایر بدافزارهای خود را بهصورت مخفیانه روی سیستم نصب کنند. Mandiant میگوید اگرچه گروه UNC2970 قبلاً صنایع دفاعی، فناوری و رسانه را هدف قرار داده بود، اما حرکت بهسمت پژوهشگران امنیتی میتواند از روشی در استراتژی این گروه خبر دهد.