استفاده هکرهای کره شمالی از linkedin

در سال های اخیر گزارشاتی منتشر شده مبنی بر حملات سایبری توسط هکرهای کره شمالی از طریق LinkedIn  است. این حملات بیشتر با اهداف جاسوسی و هدایت افراد به صفحات مخرب انجام می شوند. هکرهای کره شمالی از روش های پیچیده ای برای جذب افراد به صفحات تقلبی استفاده می کنند و سپس درخواست هایی را برای دریافت اطلاعات شخصی و محرمانه از آن ها، ارسال می کنند. به عنوان کاربر LinkedIn، باید دقت کنید و از هرگونه درخواست مشکوکی که به شما ارسال می شود، اجتناب کنید. شما باید از روش های امنیتی مانند قفل کردن پروفایل خود و استفاده از کلمات عبور قوی استفاده کنید. در ادامه مطلب استفاده هکرهای کره شمالی از linkedin را مورد بررسی قرار می دهیم. جهت کسب اطلاعات بیشتر در ادامه همراه ما باشید:

نحوه ی کار هکرهای کره شمالی با استفاده از linkedin

هکرهای کره شمالی اخیرا محققان امنیتی را هدف قرار داده اند. در یک برنامه سازماندهی شده، آن ها از اپلیکیشن LinkedIn استفاده می کنند و برای جذب و استخدام این محققان هویت جعلی ایجاد می کنند. سپس با ارسال فایل های آلوده به آن ها به سیستم این محققان دسترسی پیدا کرده و به نوعی به شرکت آن ها نفوذ می کنند. گزارشی که توسط شرکت امنیت سایبری Mandiant و گوگل منتشر شد، نشان داد که این هکرها در دو عملیات به نام ‌های Applegeous و Operation Dream Job به بیش از 350 سازمان حمله کردند.

شرکت امنیت سایبری Mandiant به تازگی طی گزارشی بیان کرده است که برای نخستین بار در ژوئن سال گذشته متوجه این حملات شده است و دریافتند که هکرها یک آمریکایی را هدف قرار داده اند. در این حملات، مهاجمان از سه مجموعه بدافزار به نام‌ های Touchmove، Slideshow و Touchshift استفاده کردند. گروه هکر کره شمالی لازاروس با ارسال لیست مشاغل جعلی در لینکدین، شرکت های ارزهای دیجیتال را هدف قرار داده است. محققان شرکت امنیتی F-Secure می گویند هکرهای مرتبط با کره شمالی از این روش برای هدف قرار دادن شرکت های ارزهای دیجیتال در حداقل 14 کشور از جمله بریتانیا، ایالات متحده، چین، آلمان، روسیه و کره جنوبی استفاده کرده اند.

کلاهبرداران نرم افزار آلوده خود را از طریق واتس اپ برای کاربران ارسال می کنند و به لازاروس اجازه می دهند بدافزار مورد نظر را روی سیستم آن ها نصب کند. هدف نهایی هکرها سرقت اطلاعات حساس یا دسترسی به شبکه های کاربران حیاتی است. در این حمله، مهاجمان حساب ‌های جعلی لینکدین را ایجاد می ‌کنند تا به عنوان متخصصان منابع انسانی از شرکت‌ های دیگر ظاهر شوند. سپس در گفتگو با محققان از آن ها خواسته شد تا فایلی را دانلود کنند. این فایل معمولا یک فایل مایکروسافت ورد با بدافزار به صورت ماکرو است و پس از اجرا توسط قربانی می تواند سیستم او را آلوده کند. در نهایت کدهای سرور کنترل و فرمان به سیستم قربانی داده شد تا یک درب پشتی روی دستگاه باز شود و هکرها بتوانند مخفیانه بدافزارهای دیگر خود را روی سیستم نصب کنند.

نتایج تحقیقات Mandiant در پی حمله هکرهای کره شمالی

با هشدار اعلام شده توسط وزارت خزانه داری، دادگستری و وزارت خارجه آمریکا در بیانیه مشترکی که در سال جاری منتشر شد، این وزارتخانه ‌ها ثابت کردند که کارگران فناوری اطلاعات کره شمالی در حال سعی برای کسب و کار آزاد در خارج از کشور به عنوان کارگران راه دور مبتنی بر کره جنوبی، ژاپن، شرق اروپا و ایالات متحده می باشند. این هشدار افزود که هکرهای کره شمالی نیز در پلتفرم GitHub برای اشتراک گذاری کد منبع باز حضور دارند. آن ها از بحث های عمومی روی این پلتفرم استفاده می کنند تا اطلاعات را در مورد بازار دارایی های دیجیتال و نرم افزارها جمع آوری کنند.

در سال 2022، وزارت خزانه داری آمریکا و شرکت امنیتی بلاکچین Elliptic هک های پل Ronin Axie Infinity  و پل Horizon را به ترتیب به گروه لازاروس یک گروه هکر معروف کره شمالی، نسبت دادند. در گذشته سازمان ملل گزارش داد که دولت کره شمالی این هکرها را حامی برنامه هسته‌ ای خود می‌ داند. آن ها با استفاده از سرقت دارایی های دیجیتالی، خود را به پول نقدی می ‌رسانند تا از تحریم ها عبور کنند، به گونه ای که سازمان ملل تذکر داده است.

ممنوع کردن 50 دامنه متعلق به هکرهای کره شمالی توسط مایکروسافت

در 30  دسامبر 2019، مایکروسافت اعلام کرد که با موفقیت 50 دامنه وب مورد استفاده توسط گروه های هکر دولت کره شمالی را مسدود کرده است. به گفته مایکروسافت، گروهی به نام Thallium که با نام APT37 شناخته می شود، از این 50 دامنه برای حملات سایبری استفاده کرده است. در  18دسامبر 2019، مایکروسافت در دادگاه ایالت ویرجینیا علیه این گروه هکر شکایت کرد. پس از کریسمس، دادگاه به مایکروسافت اجازه داد تا 50 دامنه مورد استفاده این گروه از هکرها را برای انجام حملات آنلاین مسدود کند.
به گفته تحلیلگران مایکروسافت، یک گروه هکر مرتبط با ارتش کره شمالی از تروجان های منبع باز و کلاهبرداری در قالب پیشنهادهای شغلی لینکدین استفاده کرده است. مایکروسافت می گوید از نرم افزارهای متن باز مانند PuTTY، KITTY، TightVNC، Sumatra PDF Reader و muPDF/Subliminal   Recording برای انجام این حملات استفاده شده است.

توصیه ها

در پی جملات هکرهای کره شمالی از طریق LinkedIn چندین توصیه اساسی به مدیران شبکه ها می تواند از هک شدن سیستم های آن ها جلوگیری کند. این توصیه ها عبارتند از:

• توصیه می ‌شود که مدیران سیستم اطمینان حاصل کنند که اقدامات محافظتی ضد ویروسی آن‌ ها قادر به شناسایی و قرنطینه کردن این نرم‌ افزار مخرب و تغییرات آن باشد.
• شبکه‌ های شخصی و شبکه‌ های شرکتی با به روز بودن آخرین پچ ‌ها و داشتن فایروال‌ های مناسب و اسکن ‌های نرم‌ افزار ضد ویروس که به‌ صورت مکرر اجرا می ‌شوند، به ‌روزرسانی شوند.
• سازمان ‌ها به نشانه‌ های هشدار حملات DLL sideloading توجه ویژه‌ ای داشته باشند. از جمله DLL های بدون امضاء که در فایل ‌های قابل حمل با امضاء قرار دارند. مسیرهای بارگذاری مشکوک یا غیرمعمول و زمان ‌بندی ‌هایی که شامل فاصله‌ ای بین زمان کامپایل فایل قابل حمل و زمان بارگذاری DLL هستند. یک DLL با امضاء دیجیتالی ممکن است همچنان یک DLL بدون امضاء را بارگیری کند، سازمان ‌ها باید به این وقوع رویداد توجه کنند.
• سازمان ‌ها ممکن است بخواهند اقدامات پیشگیرانه اضافی را پیاده ‌سازی کنند که می ‌توانند حملات DLL sideloading را که در فرآیندهای فعال، سرویس‌ ها و اجراپذیرهای استاتیک اجرا شده باشند، شناسایی و متوقف کنند.

سخن آخر

گروه هکری کره شمالی با استفاده از روش های فیشینگ و تلاش برای ورود به حساب های کاربری لینکدین به اطلاعات حساب های کاربری و شرکت هایی که در لینکدین عضو هستند، دست یافتند. هدف اصلی این حملات به نظر می رسد جمع آوری اطلاعات صنعتی و دولتی بوده است. ما در این مقاله توصیه ها و راهکارهایی جهت جلوگیری از هک سیستم ها به مدیران شبکه معرفی کرده ایم به امید اینکه بتواند به امنیت سایت های آن ها کمک کند.