فعالیت‌های مخفی گروه هک Naikon در پنج سال گذشته با استفاده از بدافزار Aria-body

گروه هک Naikon به‌عنوان یکی از گروه هک شناخته شده در دسته تهدید‌های مستمر و پیشرفته قرار می‌گیرد و تا سال ۲۰۱۵ یکی از فعال‌ترین گروه‌های مهاجم در آسیا شناخته می‌شد. این گروه، حملات بسیاری را در این ناحیه به منظور جمع‌آوری اطلاعات ژئوپلتیکی انجام داده است.

بر اساس آخرین تحقیقات انجام شده توسط محققان امنیتی شرکت چک‌پوینت، گروه هک Naikon در ۵ سال گذشته فعالیت‌های خود را متوقف نکرده و از یک درب پشتی به نام Aria-body برای انجام کارهای خود به صورت مخفیانه استفاده کرده است.

به طور خلاصه، درب پشتی Aria-body برای کنترل شبکه داخلی یک سازمان و حمله به دیگر سازمان‌های از قبل آلوده و آسیب‌پذیر مورد استفاده قرار می‌گیرد.

برخی نسخه‌های درب پشتی Aria-body دارای توانایی‌هایی از جمله به دست گرفتن کنترل کیبورد و بارگذاری افزونه‌های مخرب هستند. همچنین این درب پشتی علاوه بر استخراج اطلاعات سرقت شده و انتقال آن‌ها به سرور کنترل و فرمان، قابلیت اجرای فرمان‌های دیگر که از طرف اپراتور دریافت کند را نیز دارد.

محققان در همین رابطه گفته‌اند که با توجه به ویژگی‌های قربانیان و قابلیت‌های ارائه شده توسط این گروه، به نظر می‌رسد که هدف این گروه جمع‌آوری اطلاعات و جاسوسی در کشور‌هایی که دولت‌های آن مورد هدف قرار داده شده‌اند است.

گروه Naikon APT معمولا از ایمیل‌های تقلبی علیه آژانس‌های مهم دولتی و سازمان‌های مهم استفاده می‌کند. این ایمیل‌ها پس از باز شدن یک جاسوس‌افزار را در سیستم نصب می‌کنند که اسناد مهم را سرقت کرده و آن‌ها را به یک سرور کنترل و فرمان ارسال می‌کند.

لوتم فینکلستین، مدیر بخش تهدید اطلاعات در شرکت چک‌پوینت گفته است که گروه Naikon با جا زدن خود به عنوان یک دولت خارجی، سعی در حمله به یکی از مشتریان ما داشت، به همین سبب نیز ما توانستیم آن‌ها را پس از ۵ سال شناسایی کنیم.

- This Asia-Pacific Cyber Espionage Campaign Went Undetected for 5 Years