بر اساس گزارش جدیدی که از سوی شرکت McAfee منتشر شده، به موازات حملات سایبری در اوایل فروردین ماه سال جاری علیه برخی بانک ها و رسانه های کره جنوبی که هیاهوی زیادی نیز به پا کرد، یک عملیات مخرب دیگر با هدف سرقت اطلاعات طبقه بندی شده نظامی، در جریان بوده است.
گزارش McAfee نشان می دهد که حملات علیه مراکز مختلف در کره جنوبی، در حقیقت، پایان یک عملیات جاسوسی بلند مدت بوده است.
در این گزارش به دو گروه نفوذگر با نام های Whois Hacking و New Romanic Cyber Army اشاره می شود و بر اساس ابزارها و بدافزارهای جمع آوری شده از این دو گروه، McAfee نتیجه گیری می کند که هر دو گروه در واقعیت یک گروه واحدی را تشکیل می داده اند.
بدافزاری که توسط هر دو گروه نفوذگر مورد استفاده قرار گرفته، از سال 2009 میلادی فعال بوده و علیه اهداف مختلف در کره جنوبی فعالیت می کرده است. حملات سایبری اوایل فروردین ماه امسال نیز احتمالاً برای رد گم کردن و یا پاک کردن رد پاهای بدافزار بوده است.
نفوذگران تمرکز خاصی بر روی کامپیوترهای مستقر در مراکز نظامی داشته اند. نفوذگران با جلب کاربران این نوع کامپیوترها به یک سایت اجتماعی مورد علاقه نظامیان، کامپیوتر مراجعه کنندگان به این سایت را آلوده کرده و امکان نفوذ به آنها را فراهم می کردند. بعد از آلوده کردن کامپیوتر، بدافزار اقدام به جستجوی کامپیوتر و جمع آوری اطلاعات می کرده است. ولی چون ارسال اطلاعات حجیم می توانست جلب توجه کند، شیوه دیگری به کار گرفته شد.
بدافزار محتوای فایل های موجود بر روی کامپیوتر قربانی را بر اساس کلمات و عبارات کلیدی به زبان انگلیسی و کره ای، ارزیابی و طبقه بندی می کرد و طبق آن، شناسه ای برای آن فایل در نظر می گرفت. جمع کل این ارزیابی ها و شناسه های اختصاص داده شده، ارزش آن کامپیوتر قربانی را مشخص می نمود.
در عمل هیچگاه از کامپیوترهای کم ارزش اطلاعاتی سرقت نشده است. اطلاعات خاص فقط از کامپیوترهای با ارزش جمع آوری شده و از طریق پودمان http رمزگذاری شده، ارسال می گردیده.
این بدافزار توانایی داشته که مانند بدافزاری که اطلاعات را از شبکه های کامپیوتری بانک ها و رسانه های کره جنوبی پاک کرد، اطلاعات نظامی را از روی این کامپیوترهای تحت کنترل خود پاک کند.
گزارش کامل شرکت McAfee را در این زمینه در اینجا مطالعه کنید.