فریب کارشناسان خارجی برای نوشتن تحقیق برای آنها

این نبود.

به گفته دست اندرکاران و سه محقق امنیت سایبری، فرستنده در واقع یک جاسوس مظنون کره شمالی بود که به دنبال اطلاعات بود.

به نظر می‌رسد که فرستنده به جای آلوده کردن رایانه‌اش و سرقت داده‌های حساس، همانطور که معمولاً هکرها انجام می‌دهند، سعی می‌کند با تظاهر به جنی تاون، کارگردان 38 شمالی، افکار خود را در مورد مسائل امنیتی کره شمالی برانگیزد.

دی پتریس با اشاره به تاون به رویترز گفت: «وقتی با آن شخص با سؤالات بعدی تماس گرفتم و متوجه شدم که در واقع هیچ درخواستی وجود ندارد و این شخص نیز هدف بوده است، متوجه شدم که قانونی نیست. بنابراین خیلی سریع متوجه شدم که این یک کمپین گسترده است.

به گفته کارشناسان امنیت سایبری، پنج فرد مورد هدف و ایمیل‌هایی که رویترز بررسی کرده است، این ایمیل بخشی از یک کمپین جدید و قبلا گزارش نشده توسط یک گروه مظنون هکر کره شمالی است.

کارشناسان امنیت سایبری گمان می‌کنند که هکرها افرادی را هدف قرار می‌دهند که در دولت‌های خارجی تأثیرگذار هستند تا بهتر بفهمند سیاست غرب در مورد کره شمالی به کجا می‌رود.

این گروه هکری که محققان آن را در میان نام‌های دیگر، Thallium یا Kimsuky نامیدند، مدت‌هاست از ایمیل‌های “spear-phishing” استفاده می‌کنند که هدف‌ها را فریب می‌دهند تا پسوردها را کنار بگذارند یا روی پیوست‌ها یا لینک‌هایی که بدافزار را بارگیری می‌کنند کلیک کنند. با این حال، اکنون به نظر می رسد که به سادگی از محققان یا سایر کارشناسان می خواهد نظرات خود را ارائه دهند یا گزارش بنویسند.

بر اساس ایمیل های بررسی شده توسط رویترز، از جمله دیگر مسائل مطرح شده، واکنش چین در صورت آزمایش هسته ای جدید بود. و اینکه آیا رویکرد «آرام‌تر» به «تجاوز» کره شمالی ممکن است موجه باشد.

جیمز الیوت از مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) گفت: مهاجمان با این روش بسیار بسیار ساده به موفقیت های زیادی دست یافته اند و افزود که تاکتیک جدید برای اولین بار در ژانویه ظاهر شد. مهاجمان روند را کاملاً تغییر داده اند.»

MSTIC گفت که چندین کارشناس کره شمالی را شناسایی کرده است که اطلاعاتی را به حساب مهاجم تالیم ارائه کرده اند.

در گزارش سال 2020 آژانس های امنیت سایبری دولت ایالات متحده آمده است که Thallium از سال 2012 فعالیت می کند و “به احتمال زیاد رژیم کره شمالی ماموریت جمع آوری اطلاعات جهانی را بر عهده دارد.”

به گفته مایکروسافت، تالیم در طول تاریخ کارمندان دولت، اتاق های فکر، دانشگاهیان و سازمان های حقوق بشری را هدف قرار داده است.

الیوت گفت: «اگر بخواهید مهاجمان اطلاعات را مستقیماً از دهان اسب دریافت می‌کنند، و مجبور نیستند آنجا بنشینند و تفسیر کنند، زیرا آنها آن را مستقیماً از متخصص دریافت می‌کنند.

تاکتیک های جدید

هکرهای کره شمالی به خاطر حملاتی که میلیون‌ها دلار درآمد دارند، هدف قرار دادن سونی پیکچرز بر سر فیلمی که به عنوان توهین به رهبر آن شناخته می‌شود، و سرقت داده‌های شرکت‌های دارویی و دفاعی، دولت‌های خارجی و سایرین شهرت دارند.

سفارت کره شمالی در لندن به درخواست برای اظهار نظر پاسخ نداد، اما دست داشتن در جرایم سایبری را رد کرده است.

Saher Naumaan، تحلیلگر اصلی اطلاعات تهدیدات در BAE Systems Applied Intelligence گفت: در حملات دیگر، تالیم و سایر هکرها هفته ها یا ماه ها را صرف ایجاد اعتماد با یک هدف قبل از ارسال نرم افزارهای مخرب کرده اند.

اما طبق گفته مایکروسافت، این گروه اکنون در برخی موارد بدون ارسال فایل‌های مخرب یا لینک‌ها حتی پس از پاسخ قربانیان، با کارشناسان درگیر می‌شود.

الیوت گفت: این تاکتیک می‌تواند سریع‌تر از هک کردن حساب شخصی و رد کردن ایمیل‌های آنها باشد، برنامه‌های امنیتی فنی سنتی که پیامی را با عناصر مخرب اسکن و پرچم‌گذاری می‌کنند دور می‌زند و به جاسوسان اجازه می‌دهد مستقیماً به تفکرات متخصصان دسترسی داشته باشند.

او گفت: «برای ما به‌عنوان مدافع، متوقف کردن این ایمیل‌ها واقعاً بسیار سخت است.

تاون گفت که برخی از پیام‌هایی که ظاهراً از او بوده‌اند، به جای حساب رسمی او که به «.org» ختم می‌شود، از آدرس ایمیلی استفاده کرده‌اند که به «.live» ختم می‌شود، اما خط کامل امضای او را کپی کرده است.

او گفت که در یک مورد، در یک تبادل ایمیل سوررئال شرکت داشت که در آن مهاجم مظنون که خود را به عنوان او نشان می داد، او را در یک پاسخ گنجاند.

دی پتریس، یکی از همکاران اولویت‌های دفاعی و ستون‌نویس چندین روزنامه، گفت ایمیل‌هایی که دریافت کرده به گونه‌ای نوشته شده‌اند که گویی یک محقق درخواست ارسال مقاله یا نظراتی در مورد یک پیش‌نویس دارد.

او گفت: «آنها کاملاً پیچیده بودند، با آرم های اتاق فکر به مکاتبات متصل شده بودند تا به نظر برسد که پرس و جو مشروع است.

دپتریس گفت، حدود سه هفته پس از دریافت ایمیل جعلی از 38 North، یک هکر جداگانه هویت او را جعل کرد و به افراد دیگر ایمیل زد تا پیش‌نویس را ببینند.

این ایمیل، که دی پتریس با رویترز به اشتراک گذاشت، 300 دلار برای بررسی نسخه خطی در مورد برنامه هسته ای کره شمالی پیشنهاد می کند و از سایر بازبینان احتمالی توصیه می کند. الیوت گفت که هکرها هرگز برای تحقیقات یا پاسخ‌های خود به کسی پولی پرداخت نکرده‌اند و هرگز قصدی هم ندارند.