هدف قرار دادن دولت و دفاع روسیه توسط هکر کره شمالی

مایکروسافت فاش کرده است که گروه های هکر کره شمالی از ابتدای سال جاری با موفقیت به چندین هدف دولتی و دفاعی روسیه نفوذ کرده اند. این افشاگری بخشی از گزارشی است که روز جمعه توسط این شرکت منتشر شد و به تهدیدات ناشی از شرق آسیا می پردازد.

این گزارش نشان می‌دهد که این افراد از مشغله‌های روسیه در حمله به اوکراین برای جمع‌آوری اطلاعات از سیستم‌های در معرض خطر روسیه استفاده می‌کنند.

کلینت واتس، رییس مرکز تحلیل تهدیدات دیجیتال مایکروسافت، اظهار داشت:« چند بازیگر تهدید کننده کره شمالی اخیرا دولت و صنایع دفاعی روسیه را هدف قرار داده اند (احتمالا با هدف جمع آوری اطلاعات) در حالیکه به طور همزمان از روسیه در جنگ با اوکراین حمایت مادی می کنند.»

مایکروسافت هنوز جزئیات خاصی درمورد سازمان های روسی نقض شده ارائه نکرده است. با این حال این گزارش بینش هایی را درمورد برخی از حملات انجام شده ارائه می دهد. در مارس 2023 یک موسسه تحقیقاتی هوافضای روسیه و حساب های دیپلماتیک روسیه توسط گروه های تهدید Ruby Sleet (همچنین به عنوان CERIUM شناخته می‌شود) و Onyx Sleet (PLUTONIUM) در معرض خطر قرار گرفتند.

علاوه بر این، یک حساب مهاجم منتسب به Opal Sleet (OSMIUM) ایمیل های فیشینگ را به حساب های متعلق به نهادهای دولتی دیپلماتیک روسیه در همان ماه ارسال کرد.

این حملات سایبری کره شمالی که توسط گروه های تهدید Rubby Sleet و Diamond Sleet(همچنین به نام ZINC و Lazarus شناخته می‌شود) انجام شد، دامنه خود را به تولید کنندگان اسلحه در کشورهای مختلف از جمله آلمان و اسرائیل گسترش داده است.

شرکت های دفاعی در برزیل، چک، فنلاند ایتالیا، نروژ و لهستان نیز قربانی این تجاوزات شده اند که همه آنها بخشی از تلاش هماهنگ برای تقویت توانایی های نظامی کره شمالی هستند.

مشاهدات مایکروسافت نشان می دهد که از نوامبر 2022 تا ژانویه 2023، دومین مورد از هم پوشانی هدف گیری وجود داشت که هم روبی اسلیت و هم دیاموند اسلیت شرکت های دفاعی را به خطر انداختند.

از ژانویه 2023 دیاموند اسلیت دامنه خود را برای هدف قرار دادن شرکت های دفاعی در برزیل، چک، فنلاند، ایتالیا، نروژ و لهستان گسترش داده است.

این گزارش از مایکروسافت به دنبال گزارشی است که ماه گذشته توسط SentinelLabs منتشر شد که گروه هکری APT37 کره شمالی را به نقض سازنده موشکی روسی NPO Mashinostroyeniya مرتبط می کرد.

قابل ذکر است که NPO Mashinostroyeniya توسط دفتر کنترل دارایی های خارجی وزارت خزانه داری ایالت متحده (OFAK) به دلیل نقشش در تهاجم روسیه به اوکراین تحریم شده است.

در حالیکه که انگیزه دقیق مهاجمان هنوز مشخص نیست، SentinelLabs اشاره کرد که تلاش های جاسوسی سایبری این گروه بر سرقت داده ها از شبکه های سازمان های در معرض خطر متمرکز شده است.

در پشتی OpenCarrot که توسط APT37 در سیستم های دفاع روسیه استفاده می شد، قبلا با گروه تهدید کره شمالی، گروه لازاروس مرتبط بود.

منبع: dig.watch