راه‌اندازی کمپین جدید بدافزار، جهت ایجاد اخلال در المپیک زمستانی 2018

بازی‌های المپیک زمستانی، در فوریه ۲۰۱۸ در شهر پیونگ‌چانگ کره‌جنوبی برگزار خواهد شد؛ اما حملات بدافزاری علیه این رویداد، پیش از این آغاز شده‌است.
براساس گزارش محققان McAfee، هکرها در حال تلاش برای هدف قرار دادن بازی‌های المپیک زمستانی در ماه فوریه هستند که قرار است در پیونگ‌چانگ کره‌جنوبی برگزار شود. همان‌طور که در مورد یافته‌های شرکت McAfee نمایان شد، مجرمان‌سایبری درصدد شکار اطلاعات حساس از گروه‌های مختلفی‌ که با المپیک در ارتباط هستند، می‌باشند.

این شرکت در گزارش خود اعلام کرد که ایمیل‌های آلوده‌ای را شناسایی نموده‌اند که از سوی مهاجمان به سازمان‌هایی که در بازی‌های المپیک مشارکت داشته‌اند، ارسال شده‌است. کسی که مسئول ارسال این ایمیل‌ها بوده، هنوز شناسایی نشده‌است. در این خصوص، McAfee درباره حملات بیشتر به سازمان‌های مرتبط با بازی‌های ۲۰۱۸ هشدار داده‌است.

این گزارش بیان‌داشت که ایمیل‌های مخرب عمدتاً به سمت "icehockey@pyeongchang2018.com" هدف قرار گرفتند، در حالی‌که سایر سازمان‌های کره‌جنوبی در خط BCC، در میان اهداف کلیدی، شامل تأمین‌کنندگان اسکی و تیم‌های هاکی روی یخ بوده‌اند. همچنین، اکثر سازمان‌ها به گونه‌ای مرتبط با بازی‌های آتی بوده‌اند که برخی از آن‌ها از طریق تأمین زیرساخت‌ها، ارتباط برقرار می‌کردند. در حالی‌که برخی از آن‌ها به عنوان گروه‌های پشتیبانی خدمت می‌کردند. این ایمیل حاوی یک سند مخرب بود که بلافاصله پس از فعال‌سازی، یک فایل پنهان در کامپیوترها ایجاد می‌کرد.

به گفته تحلیلگر ارشد McAfee، مهاجمان، یک شبکه گسترده را با این کمپین انتخاب کرده‌اند. زیرا آنها شامل آدرس‌های ایمیل عمومی که از طریق info @شروع می‌شوند، می‌باشد.
وی همچنین اشاره کرد: از لحاظ تئوری، اگر آنها به شبکۀ میزبان شبکه ایمیل پیونگ‌چانگ بازی‌های المپیک دسترسی پیدا کنند، هر تعداد احتمال حرکت در داخل آن وجود دارد. این بستگی به این دارد که شبکه‌ها به تیم‌های ویژه، کمیته‌ها و برنامه‌ریزان در سطح بالا متصل باشند.
McAfee اعلام کرد این کمپین از 22 دسامبر اجرا شده و همه نشانه‌های دخالت دشمنان یک ملت که، هم زبان‌ کشورکره هستند را نیز به خود جلب می‌کند. از آنجا که در حال حاضر تحقیقات در حال انجام است، این شرکت هیچ نام مشخصی از عامل احتمالی حملات را ارائه نکرده‌است.

این بار، مهاجمان از روش بسیار پیچیده‌تری نسبت به حمله فیشینگ معمولی استفاده کرده‌اند، زیرا گیرنده ایمیل نیازی به دانلود هر گونه فایل به نرم‌افزار مخرب را ندارد؛ بدون این‌که متوجه برنامه امنیتی شود. این بدافزار فیشینگ از Microsoft Powershell برای راه‌اندازی آن استفاده می‌کند که اکنون به یک تاکتیک بسیار رایج میان مهاجمان‌سایبری تبدیل شده‌است. آدرس IP، که این ایمیل‌های مخرب از آنجا ارسال می‌شوند در سنگاپور مستقر بوده و درخواست‌های ایمیل گیرنده برای بازکردن یک فایل متنی کره‌ای است که قانونی به نظر می‌رسد و از مرکز ملی مبارزه با تروریسم در کره‌جنوبی می‌باشد. همچنین، از طریق پنهان‌نگاری، مهاجمان موفق به مخفی‌کردن بدافزار مخرب درون تصاویر و متن شده‌اند.

ترجمه: وحید ذبیح‌اله‌نژاد