ارزش بازار

شاخص ترس و طمع

قیمت تتر

ت

دامیننس بیت‌کوین

شنبه - 1404/4/28 | Saturday - 2025/07/19

حمله سایبری کره شمالی

  • انتشار
    1404-04-01
  • کد خبر
    1790
T T
لینک مستقیم خبر

نفوذ شغلی کره شمالی به صنعت رمزارز

موج جدیدی از حملات سایبری نشان می‌دهد که کره شمالی در حال سوءاستفاده از مسیرهای جذب نیروی انسانی در صنعت رمزارز است. این کشور از پیشنهادهای شغلی جعلی در LinkedIn، تماس‌های ویدیویی Zoom با چهره‌های دیپ‌فیک، و فایل‌های مصاحبه آلوده استفاده می‌کند تا به کیف پول‌ها و مخازن کد توسعه‌دهندگان Web3 دسترسی پیدا کند.

با کاهش نیروهای متخصص در این حوزه و افزایش وابستگی پروتکل‌های متن‌باز به مشارکت‌کنندگان مستقل، میزان ریسک هیچ‌گاه تا این حد بالا نبوده است.


نفوذ توسعه‌دهندگان توسط هکرهای کره شمالی

در ۱۸ ژوئن، شرکت امنیت سایبری Huntress از کمپینی پرده برداشت که به گروه BlueNoroff — زیرمجموعه‌ای از گروه بدنام Lazarus — نسبت داده شده و هدف آن یکی از توسعه‌دهندگان یک بنیاد بزرگ Web3 بوده است.

فریب‌کاری با یک پیام حرفه‌ای از یک "استخدام‌کننده" در LinkedIn آغاز شد، که پس از آن مصاحبه‌ای ویدیویی در Zoom با یکی از مدیران ارشد شرکت انجام شد. در واقع، این تصویر ویدیویی یک دیپ‌فیک بود و فایل ارزیابی فنی‌ای که از داوطلب خواسته شد اجرا کند (zoom_sdk_support.scpt)، بدافزاری چندسکویی به نام BeaverTail را نصب می‌کرد که قادر به سرقت عبارات بازیابی (seed phrases)، کیف پول‌های رمزارز و اعتبارنامه‌های GitHub است.

این تاکتیک‌ها نشانه‌ای از تشدید قابل‌توجه حملات است. به گفته پژوهشگران Silent Push در آوریل:

«در این کمپین جدید، گروه مهاجم از سه شرکت صوری در حوزه مشاوره رمزارزی استفاده می‌کند تا از طریق فریب مصاحبه شغلی، بدافزار منتشر کند.»

این شرکت‌ها شامل BlockNovas، SoftGlide و Angeloper بودند که همگی ثبت رسمی در آمریکا داشتند و آگهی‌های شغلی‌شان در LinkedIn به‌راحتی از فیلترهای منابع انسانی عبور می‌کرد.

دامنه BlockNovas در آوریل توسط FBI توقیف شد. تا آن زمان، چندین توسعه‌دهنده در تماس‌های جعلی Zoom شرکت کرده بودند و تشویق به نصب اپ‌های اختصاصی یا اجرای اسکریپت‌ها شده بودند. بسیاری از آن‌ها نیز این کار را انجام داده بودند.

این حملات، فریب‌های ساده نیستند بلکه بخشی از یک کمپین پیشرفته و بودجه‌دار دولتی‌اند. از سال ۲۰۱۷، گروه‌های هکری کره شمالی بیش از ۱.۵ میلیارد دلار رمزارز به سرقت برده‌اند، از جمله هک ۶۲۰ میلیون دلاری Ronin/Axie Infinity.

به گزارش وزارت خزانه‌داری ایالات متحده، این دارایی‌های دزدیده‌شده معمولاً از طریق میکسرهایی مانند Tornado Cash و Sinbad پولشویی شده و در نهایت صرف تأمین مالی برنامه‌های تسلیحاتی کره شمالی می‌شوند.

سو جی. بای از بخش امنیت ملی وزارت دادگستری آمریکا گفت:

«کره شمالی سال‌هاست که از پیمانکاری از راه دور در حوزه IT و اکوسیستم رمزارز برای دور زدن تحریم‌های آمریکا و تأمین بودجه برنامه‌های تسلیحاتی خود استفاده می‌کند.»

در ۱۶ ژوئن، دفتر او اعلام کرد که ۷.۷۴ میلیون دلار رمزارز مرتبط با طرح کارگران IT جعلی را توقیف کرده است.


تمرکز بر توسعه‌دهندگان رمزارز

اهداف با دقت انتخاب می‌شوند. ذات متن‌باز پروتکل‌های رمزارزی باعث می‌شود که یک توسعه‌دهنده منفرد — اغلب با هویتی مستعار و در نقاط مختلف جهان — سطح دسترسی حساسی به زیرساخت‌های حیاتی داشته باشد، از قراردادهای هوشمند گرفته تا پل‌های بلاکچینی.

طبق آخرین گزارش توسعه‌دهندگان Electric Capital، حدود ۳۹,۱۴۸ توسعه‌دهنده جدید فعال در رمزارزها ثبت شده‌اند، اما تعداد کل توسعه‌دهندگان سال‌به‌سال حدود ۷٪ کاهش داشته است. تحلیل‌گران می‌گویند که عرضه توسعه‌دهندگان باتجربه کاهش یافته و همین باعث می‌شود که نفوذ به یک توسعه‌دهنده، خطر بسیار بالایی داشته باشد.

به همین دلیل است که روند جذب نیرو، به میدان نبرد امنیت سایبری تبدیل شده است. به‌محض آن‌که استخدام‌کننده‌ای از شرکت صوری از فیلتر منابع انسانی عبور کند، مهندسانی که در بازار نزولی به دنبال شغل پایدار هستند، ممکن است علائم هشدار را نادیده بگیرند. در چند مورد، مهاجمان حتی از لینک‌های Calendly و دعوت‌نامه‌های Google Meet استفاده کرده‌اند که بی‌سر و صدا کاربر را به دامنه‌هایی شبیه Zoom تحت کنترل مهاجم هدایت می‌کردند.

بدافزارهای این کمپین پیشرفته و ماژولار هستند. شرکت‌های Huntress و Unit 42 بدافزارهایی مانند BeaverTail، InvisibleFerret و OtterCookie را شناسایی کرده‌اند که همگی با فریم‌ورک Qt برای سازگاری با سیستم‌عامل‌های مختلف کامپایل شده‌اند. پس از نصب، این ابزارها افزونه‌های مرورگری مانند MetaMask و Phantom را اسکن کرده، فایل‌های wallet.dat را استخراج می‌کنند و به‌دنبال کلمات کلیدی مانند “mnemonic” یا “seed” در فایل‌های متنی می‌گردند.

با وجود پیشرفت فنی این حملات، فشار نهادهای اجرای قانون در حال افزایش است. توقیف دامنه‌ها توسط FBI، مصادره‌های مالی توسط وزارت دادگستری، و تحریم‌های وزارت خزانه‌داری علیه میکسرها، همگی هزینه اجرای عملیات را برای هکرهای پیونگ‌یانگ افزایش داده‌اند. با این حال، رژیم همچنان تطبیق‌پذیر باقی مانده است.

هر شرکت صوری، شخصیت استخدام‌کننده یا بار مخرب جدید، با ظاهری هرچه متقاعدکننده‌تر عرضه می‌شود. با کمک ابزارهای هوش مصنوعی مولد، حتی مدیران جعلی در تماس‌های زنده نیز حالا ظاهر و حرکاتی باورپذیر دارند. با آن‌که DeFi بر اساس سیستم‌هایی بدون نیاز به اعتماد بنا شده، اما همچنان متکی به دایره‌ای کوچک و آسیب‌پذیر از نگه‌دارندگان انسانی قابل اعتماد است.


یورش گسترده به رمزارز توسط کره شمالی

گزارش اخیر CryptoSlate نمایی کلی از یورش گسترده پیونگ‌یانگ به صنعت رمزارز ارائه می‌دهد. یک تحلیل پایان‌ساله نشان داد که گروه‌های مرتبط با کره شمالی در سال ۲۰۲۴ حدود ۱.۳۴ میلیارد دلار از ۴۷ حمله به سرقت برده‌اند — که معادل ۶۱٪ از کل رمزارزهای دزدیده‌شده در آن سال است.

بخشی بزرگ از این رقم از حمله ۳۰۵ میلیون دلاری به صرافی DMM Bitcoin ژاپن ناشی می‌شود. FBI اعلام کرد این حمله با جعل استخدام‌کننده‌ای از طرف TraderTraitor در LinkedIn آغاز شد که فایل "آزمون کدنویسی" آلوده‌ای را به یکی از مهندسان کیف پول Ginco ارسال کرده بود.

همین الگو در فوریه امسال شدت گرفت؛ FBI اعلام کرد حمله ۱.۵ میلیارد دلاری به Bybit توسط Lazarus انجام شده و سارقان طی چند روز اول، ۱۰۰,۰۰۰ اتریوم را از طریق THORChain پولشویی کرده‌اند.

عملیات‌های کره شمالی شامل جعل سرمایه‌گذاران خطرپذیر، استخدام‌کنندگان، و کارگران از راه دور IT است؛ آن‌ها از پروفایل‌های ساخته‌شده با هوش مصنوعی و مصاحبه‌های دیپ‌فیک استفاده می‌کنند تا حقوق بگیرند، کد منبع را استخراج کنند و از شرکت‌ها اخاذی کنند — چیزی که محققان Microsoft آن را «طرح سه‌گانه تهدید» نامیده‌اند.

در دنیایی که مشاغل از راه دورند، اعتماد دیجیتال است و نرم‌افزار کنترل پول را در دست دارد، حمله بعدی دولتی ممکن است نه با یک اکسپلویت، بلکه با یک دست‌دادن آغاز شود.

 


ثبت نظر

نظرات گذشته

هنوز برای حمله سایبری کره شمالی نظری ثبت نشده است.