ITanalyze

آسیه فروردین – گائورا رو در سایت سکیوریتیز نوشت: در حالی که هکرهای ایران، حملات باج‌افزاری و استخراج کریپتو را انجام داده‌اند و روسیه از گروه‌های باج‌افزار خصوصی در برخی ظرفیت‌ها استفاده می‌کند، دولت کره‌شمالی، تنها کشوری است که جرایم سایبری مالی را در فعالیت‌های تهاجمی‌ خود به عنوان هدف اصلی گنجانده است.

برنامه جرایم سایبری کره‌شمالی با تاکتیک‌هایی شامل سرقت بانک‌ها، استقرار باج‌افزار و سرقت ارزهای دیجیتال از صرافی‌های آنلاین، بسیار جدی است.

هکرهای کره شمالی که Lazarus،Kimsuky  و BeagleBoyz نامیده می‌شوند، از ابزارهای پیچیده‌تر برای نفوذ به شبکه‌های نظامی، دولتی، شرکت‌ها و صنایع دفاعی در سراسر جهان، انجام جاسوسی سایبری و استخراج داده‌های طبقه‌بندی‌شده برای کمک به توسعه کره‌شمالی استفاده می‌کنند.

این کشور تحریم‌شده به روش‌های پیچیده‌ برای سرقت ارزهای دیجیتال روی آورده است. بنابراین میزان استفاده از ابزارهای نرم‌افزاری که ارزهای دیجیتال را از هزاران آدرس جمع‌آوری می‌کنند، دو چندان شده است.

سال گذشته، وزارت دادگستری ایالات متحده، سه برنامه‌نویس کامپیوتر کره‌شمالی را به دلیل شرکت در یک توطئه گسترده به دلیل انجام یک‌سری حملات سایبری مخرب برای سرقت و اخاذی بیش از 1.3 میلیارد دلار پول و ارز دیجیتال از موسسات و شرکت‌های مالی متهم کرد. ایجاد و استقرار چندین برنامه رمزنگاری مخرب و نیز توسعه و بازاریابی متقلبانه یک پلتفرم بلاک‌چین از اتهامات آنهاست. حمله کره‌شمالی به ارزهای دیجیتال همواره ادامه داشته است.

• سرقت 1.2 میلیارد دلار از سال 2017
  هفته گذشته، سرویس اطلاعات ملی کره‌جنوبی (NIS) گزارش جدیدی منتشر کرد.

در این گزارش آمده است هکرهای کره‌شمالی در پنج سال گذشته، حدود 1.5 تریلیون وون (1.2 میلیارد دلار) ارز دیجیتال را سرقت کرده‌اند. بیش از نیمی از این مبلغ، تنها در سال جاری بوده و 78 میلیون دلار از این مبلغ هنگفت، متعلق به کره‌جنوبی بوده است. به گفته آژانس اطلاعاتی کره‌جنوبی، بیش از 800 میلیارد وون کره (620 میلیون دلار)، ارزهای دیجیتال فقط در سال جاری به سرقت رفته است.

سخنگوی NIS با بیان اینکه کل این هک در خارج از کشور رخ داده، گفت: در کره، تراکنش‌های دارایی مجازی به تراکنش‌های نام واقعی، تغییر یافته و امنیت، تقویت شده است، بنابراین هیچ آسیبی وجود ندارد.

برای کسانی که از این پیشرفت اطلاعی ندارند، در سال 2021، دولت کره‌جنوبی قوانین جدیدی را درباره احراز هویت (KYC)، برای تجارت کریپتو اجرا کرد. این قانون الزام می‌کند که همه صرافی‌های رمزنگاری در کشور، باید از مشتریان بخواهند یک حساب با نام واقعی در همان بانکی که برای واریز یا برداشت وجوه خود استفاده می‌کنند، ایجاد کنند و صرافی و بانک، باید هویت مشتری را تایید کنند. علاوه بر این، صرافی‌ها باید قبل از شروع فعالیت، مجوزی از کمیسیون خدمات مالی (FSC) دریافت کنند.

گروه‌های هکر کره‌شمالی در سال جاری با چندین نقض کریپتو در مقیاس بزرگ از جمله حمله ۱۰۰ میلیون دلاری  Harmony مرتبط هستند. کارشناسان می‌گویند این حملات، راهی برای این کشور برای دستیابی به ذخایر ارز خارجی است، زیرا آنها با تحریم‌های تجاری سختگیرانه جامعه بین‌المللی روبه‌رو هستند.

طبق گزارش NIS، کره‌شمالی برخی از بهترین قابلیت‌های سرقت دارایی دیجیتال را در جهان دارد. این امر به دلیل تمرکز این کشور بر جرایم سایبری از سال 2017 است؛ یعنی از زمانی که تحریم‌های اقتصادی سازمان ملل در پاسخ به آزمایش‌های هسته‌ای و موشکی این کشور تشدید شد.

این آژانس همچنین هشدار داد که حملات سایبری کره‌شمالی در سال 2023 تشدید خواهد شد: «لازم است حملات به همان اندازه دفاعی، مورد تجزیه و تحلیل قرار گیرد، زیرا یک سازمان هکر، تمام اطلاعات حمله را در اختیار دارد و آن را فراموش نمی‌کند. جمع‌آوری اطلاعات مربوط به کدهای مخرب پراکنده توسط مهاجمان مختلف برای یافتن دیدگاهی معنادار ضروری است.»

هکرهای کره شمالی از تاکتیک‌های معمولی استفاده می‌کنند که توسط سایر گروه‌های هک دولت-ملت و مجرمان سایبری، شامل مهندسی اجتماعی، فیشینگ و سوءاستفاده‌های نرم‌افزاری صورت می‌گیرد.

• آزمایش روش‌های جدید انتشار بدافزار
  زیرگروه BlueNoroff لازاروس به این ویژگی، مشهور است که زرادخانه متنوعی از بدافزارها را در حملات چندجانبه علیه مشاغل برای کسب منابع غیرقانونی به‌کار می‌گیرد. این امر، شامل ترکیبی از تاکتیک‌های پیچیده فیشینگ و بدافزار برای پولشویی است.

طبق گزارش آزمایشگاه امنیت سایبری کسپرسکی، BlueNoroff پس از سکوت در بیشتر سال، بار دیگر هدف قرار دادن شرکت‌های سرمایه‌گذاری خطرپذیر (VC)، استارتاپ‌های کریپتو و بانک‌ها را تجدید کرده است. این گروه، اکنون در حال افزایش فعالیت است و بیش از 70 دامنه جعلی طراحی کرده که شبیه شرکت‌های سرمایه‌‌گذاری خطرپذیر هستند. بیشتر جعلی‌ها خود را به عنوان شرکت‌های معروف ژاپنی معرفی می‌کنند، در حالی که برخی دیگر، هویت شرکت‌های آمریکایی و ویتنامی را به خود گرفته‌اند.

طبق گزارش‌های اخیر، این گروه در حال آزمایش انواع فایل‌های جدید و سایر روش‌های ارسال بدافزار است. بدافزار پس از نصب می‌تواند از هشدارهای امنیتی Windows Mark-of-the-Web (MoTW) درباره دانلود محتوا فرار کند. سپس به رهگیری نقل و انتقالات ارزهای دیجیتال بزرگ، تغییر آدرس گیرنده و رساندن مبلغ انتقال به حد مجاز ادامه می‌دهد و اساسا حساب را در یک تراکنش خالی می‌کند.

 با بدتر شدن تهدیدات سایبری، کسب‌وکارها باید بیش از هر زمان دیگری هوشیار باشند تا از خود محافظت کنند.

سئونگ‌سو پارک، محقق کسپرسکی، هشدار می‌دهد: «سال 2023 با اپیدمی‌های سایبری با بیشترین تاثیرگذاری، ظهور می‌یابند؛ قدرتی که قبلا هرگز دیده نشده است.»

اپراتورهای مرتبط با زیرگروه Lazarus BlueNoroff با چندین حمله سایبری مرتبط هستند که مشاغل کوچک تا متوسط را در سراسر جهان هدف قرار می‌دهند.

حتی NFTها نیز از رادار گروه هکر خارج نیستند، زیرا بازیگران تهدیدکننده کره‌شمالی مرتبط با گروه لازاروس، طی چند هفته گذشته، در تلاش برای سرقت توکن‌های غیرقابل تعویض بوده‌اند.

شرکت امنیتی بلاک‌چین SlowMist طی هفته‌های گذشته، گزارشی منتشر کرد که در این گزارش، فعالیت‌های فیشینگ در مقیاس بزرگ توسط گروه‌های APT کره‌شمالی که کاربران NFT را هدف قرار می‌دادند، بررسی کرده بود.

شرکت SlowMist دریافت که یکی از تکنیک‌های مورداستفاده در حمله فیشینگ اخیر، ایجاد سایت‌های فریبنده جعلی مرتبط با NFT با Mints مخرب است.

این NFTها، سپس در پلتفرم‌های محبوبی مانند OpenSea، Rarible  و X2Y2 فروخته شدند. همچنین گروه تهدید مداوم پیشرفتهThe Advanced Persistent Threat (APT) کره‌شمالی، اوایل سال 2020 توسط دولت ایالات متحده به عنوان TraderTraitor شناسایی شد. این گروه، کاربران Crypto و NFT را با یک کمپین فیشینگ، با استفاده از 500 نام دامنه مختلف، هدف قرار داد.

ویژگی‌های فیشینگ منحصربه‌فرد که معمولا توسط این هکرها استفاده می‌شود، شامل ‌سایت‌های فیشینگ است که داده‌های بازدیدکنندگان را ضبط و آنها را در سایت‌های خارجی ذخیره می‌کنند و فهرست قیمت اقلام NFT و فایل «imgSrc.js» که تصاویر را به پروژه هدف پیوند می‌دهد، درخواست می‌کنند. پس از تجزیه و تحلیل روش‌های فیشینگ، SlowMist  دریافت هکرها از چندین توکن مانند WETH، USDC، DAI، UNI و غیره در حملات فیشینگ خود استفاده می‌کنند.

• بزرگ‌ترین حمله به بلاک‌چین رونین
  اوایل سال 2022، گروه لازاروس موفق شد بیش از 600 میلیون دلار ارز رمزنگاری‌شده را از بلاک‌چین رونین مورد استفاده در بازی NFT Axie Infinity  استخراج کند.

شرکت تجزیه و تحلیل بلاک‌چین Chainalysis، این حمله را بزرگ‌ترین هک ارز دیجیتال تا کنون خواند.

بازیAxie Infinity  که توسط یک استودیوی بازی‌سازی ویتنامی ایجاد شد، بیش از یک میلیون بازیکن فعال در یک نقطه داشت. اوایل سال جاری، بلاک‌چینی که زیربنای دنیای مجازی بازی است، توسط یک سندیکای هک کره‌شمالی مورد حمله قرار گرفت که با حدود 620 میلیون دلار در زمینه اتریوم به سود رسید.

پس از آنکه متحدانی از سازمان‌های مجری قانون و شرکت‌های تحلیل ارزهای دیجیتال، برخی از وجوه سرقت‌شده را از طریق مجموعه‌ای از DEX و «میکسرهای رمزنگاری»، یعنی سرویسی که ارزهای رمزنگاری‌شده کاربران را با هم ترکیب می‌کند، ردیابی کردند، تنها حدود 30 میلیون دلار از سرقت ارزهای دیجیتال، بازیابی شده است.

ایالات متحده، میکسر تورنادوکَش را برای ناشناس کردن صاحبان و منشأ وجوه، از آن زمان تحریم کرد.

وزارت خزانه‌داری ایالات متحده گفته توسط هکرها برای شست‌وشوی بیش از 450 میلیون دلار از محموله‌های اتریوم آنها استفاده شده است.

• حمله به استارتاپ‌های سرمایه‌گذاری کریپتو
  در بین همه این حملات، مایکروسافت اوایل ماه اعلام کرد یک عامل تهدید را شناسایی کرده که استارتاپ‌های سرمایه‌گذاری ارزهای دیجیتال را هدف قرار می‌دهد. این گروه که مایکروسافت آن را DEV-0139 نامیده، به عنوان یک شرکت سرمایه‌گذاری ارزهای دیجیتال در تلگرام ظاهر می‌شود و از یک فایل اکسل مسلح، برای آلوده کردن سیستم‌هایی که از راه دور به آنها دسترسی دارد، استفاده می‌کند.

به گفته مایکروسافت، این تهدید سطح بالایی از پیچیدگی را نشان داد که به دروغ، خود را با پروفایل‌های جعلی، کارمندان OKX معرفی کرد و به گروه‌های تلگرامی پیوست که برای تسهیل ارتباط بین مشتریان VIP و پلتفرم‌های مبادله ارزهای دیجیتال استفاده می‌شد. اکنون ما شاهد افزایش حملات پیچیده هستیم که در آن، عامل تهدید بسیار آگاه است و اغلب با ایجاد اعتماد در هدف خود، قبل از استقرار بدافزار برای آماده‌سازی، زمان صرف کرده است.

به عنوان مثال، چند ماه پیش، یک هدف برای پیوستن به یک گروه دعوت شد و درخواست بازخورد درباره یک سند اکسل کرد که ساختار هزینه VIP صرافی‌های کریپتو Huobi،Binance  وOKX  را مقایسه می‌کرد. این سند، اطلاعات دقیق و آگاهی بالایی از تجارت ارزهای دیجیتال ارایه می‌کرد اما به‌طور نامرئی، یک فایل مخرب .dll (کتابخانه پیوند پویا) را برای ایجاد یک درب پشتی در سیستم کاربر کنار ‌می‌گذاشت.

سپس از هدف خواسته شد که فایل مخرب را در طول بحث باز کند. مایکروسافت اعلام کرد که DEV-0139 همان بازیگری است که شرکت امنیت سایبری Volexity با استفاده از نوعی بدافزار AppleJeus و نصب‌کننده مایکروسافت (MSI) به گروه لازاروس مرتبط کرد.

• افزایش مستمر حملات
  در سال 2021، AppleJeus توسط آژانس امنیت سایبری و امنیت زیرساخت فدرال آمریکا شناسایی و مستند شد. طبق گزارش Chainalysis اخیرا میزان حملات ارزهای دیجیتال توسط دولت کره‌شمالی افزایش یافته است.

گروه لازاروس با هفت حمله به پلتفرم‌های ارزهای دیجیتال مرتبط بود. بر اساس گزارش شرکت تحلیلی بلاک‌چین Chainalysis، این گروه، تقریبا ۴۰۰ میلیون دلار دارایی دیجیتال در سال ۲۰۲۱ به‌دست آورد. در حالی که این رقم در سال ۲۰۲۰، حدود ۳۰۰ میلیون دلار بود.

تعداد هک‌های مرتبط با کره شمالی، در یکی از موفق‌ترین سال‌های ثبت شده، از چهار به هفت در سال ۲۰۲۱ افزایش یافت، در حالی که ارزش استخراج‌شده از این هک‌ها، ۴۰ درصد افزایش پیدا کرد. بر اساس این گزارش، زمانی که کره‌شمالی، نگهبانی این وجوه را به دست آورد، آنها بلافاصله روند دقیق پول‌شویی را آغاز کردند تا بدون شناسایی کار را ادامه دهند.

البته شرکت تحلیلی بلاک‌چین Chainalysis، همه اهداف هک ارزهای دیجیتال را شناسایی نکرد. طبق گزارش این شرکت، آنها عمدتا شرکت‌های سرمایه‌گذاری و صرافی‌های متمرکز هستند.

همچنین یکی از این صرافی‌ها، Liquid.com، در ماه آگوست اعلام کرد یک کاربر غیرمجاز به برخی از کیف‌پول‌های ارزهای دیجیتال آن صرافی دسترسی پیدا کرده است. طبق این گزارش، مهاجمان از فریب‌های فیشینگ، بدافزار، سوءاستفاده از کد و مهندسی اجتماعی پیشرفته، برای انتقال وجوه از کیف‌پول‌های این شرکت‌‌ها به آدرس‌های تحت‌کنترل کره‌شمالی استفاده کردند.

در ادامه این گزارش آمده است محققان 170 میلیون دلار، دارایی ارزهای دیجیتال قدیمی و غیرقانونی را از 49 هک مجزا از سال 2017 تا 2021 شناسایی کرده‌اند. این موضوع نشان می‌دهد «نه یک برنامه ناامیدکننده و عجولانه»، بلکه یک برنامه دقیق برای همه آنها وجود داشته است.

• هشدار به شرکت‌ها و افراد
  انتظار می‌رود هکرها به سوءاستفاده از آسیب‌پذیری‌های شرکت‌های فناوری ارزهای دیجیتال، شرکت‌های بازی و صرافی‌ها برای تولید و پولشویی در حمایت از کره‌شمالی ادامه دهند. این، یک مساله جدی است، زیرا کره‌شمالی به استفاده از حملات سایبری برای سرقت بودجه، به منظور حمایت از برنامه تسلیحات هسته‌ای خود، شناخته شده است.

این امر، اهمیت امنیت سایبری را به‌ویژه برای کسب‌وکارها و سازمان‌هایی که هکرهای تحت‌حمایت دولتی را ممکن است هدف قرار دهند، برجسته می‌کند.

با این حال هرچند دولت کره‌شمالی، دست داشتن در چنین فعالیت‌هایی را رد کرده اما شواهد نشان می‌دهد هکرها به  دستور دولت این کشور عمل می‌کنند. لذا با توجه به تهدید مداوم، توسط هکرهای کره‌شمالی، مشاغل و افراد باید هوشیار باشند و اقداماتی را برای محافظت از دارایی‌های دیجیتال خود انجام دهند.