«شاید نتوانیم دشمنی را که نمی‌شناسیم شکست دهیم: هشدار محقق درباره تغییر روش‌های رمزارزی کره شمالی»

تحلیل‌گر امنیتی Paradigm، سمک‌زون، به نگرانی‌ها درباره عملیات سایبری کره شمالی که فراتر از گروه مشهور لزاریوس (Lazarus) گسترش یافته است، پرداخته است.

این هشدارها همزمان با ظهور صنعت رمزنگاری از هک اخیر بیبیت (Bybit) است که به طور گزارش شده شامل نفوذ پیچیده‌ای به زیرساخت‌های SafeWallet بوده است.

این حمله یک تغییر رویکرد در مقایسه با حوادث هک قبلی کره شمالی بود. به‌جای هدف قرار دادن مستقیم بیبیت، هکرها موفق شدند به Safe{Wallet} نفوذ کنند.

این تغییر در تکنیک‌ها نشان دهنده افزایش پیچیدگی استراتژی‌های آن‌ها و افزایش نگرانی‌ها در مورد امنیت محیط کلی رمزنگاری است.

به گفته سمک‌زون، جرم‌های سایبری که توسط کره شمالی حمایت می‌شود تنها کار یک گروه نیست، بلکه یک شبکه از عوامل تهدید دولتی است که تحت نام‌های مختلف فعالیت می‌کنند.

ساختار جنگ سایبری کره شمالی

سمک‌زون سال‌هاست که به تحلیل تهدیدات سایبری کره شمالی پرداخته است. او توضیح می‌دهد که اشاره به تمامی فعالیت‌های سایبری کره شمالی به عنوان “گروه لزاریوس” یک ساده‌سازی افراطی از یک شبکه بسیار پیچیده است.

عملیات هک کره شمالی عمدتاً از طریق اداره کل شناسایی (Reconnaissance General Bureau) که یک آژانس اطلاعاتی است، اداره می‌شود و چندین واحد هک را تحت نظر دارد. این واحدها شامل گروه لزاریوس، APT38، AppleJeus و دیگر تیم‌های تخصصی هستند.

هر یک از این گروه‌ها تمرکز متفاوتی دارند. به‌عنوان مثال، گروه لزاریوس به خاطر حملات سایبری با پروفایل بالا شناخته شده است، از جمله هک سونی پیکچرز در سال 2014 و سرقت از بانک بنگلادش در سال 2016. APT38 نیز در جرم‌های مالی مانند تقلب بانکی و سرقت ارزهای دیجیتال تخصص دارد.

سمک‌زون نوشت: “APT38” که در حدود سال 2016 از گروه لزاریوس جدا شد تا بر روی جرم‌های مالی تمرکز کند، ابتدا به هدف قرار دادن بانک‌ها (مثل بانک بنگلادش) اقدام کرد و بعداً به ارزهای دیجیتال پرداخته است.

گروه AppleJeus کاربران ارز دیجیتال را با بدافزارهایی تحت عنوان برنامه‌های معاملاتی مورد هدف قرار داده است.

این گروه‌ها تحت یک چتر دولتی فعالیت می‌کنند و به تأمین مالی برنامه‌های تسلیحاتی کره شمالی و فرار از تحریم‌های بین‌المللی کمک می‌کنند.

رمزنگاری هم اکنون هدف کره شمالی است

کره شمالی به عنوان یک منبع درآمد بزرگ به رمزنگاری روی آورده است. برخلاف مالی سنتی، معاملات رمزنگاری غیرمتمرکز بوده و اغلب ردیابی یا مسدود کردن آن‌ها دشوارتر است.

هکرهای کره شمالی از این موضوع بهره‌برداری کرده و با نفوذ به صرافی‌ها، راه‌اندازی بدافزار و استفاده از پیشنهادات شغلی جعلی برای دسترسی به سیستم‌های داخلی، اقدام می‌کنند.

یک مثال، مورد “Wagemole” است که شامل کارگران IT کره شمالی است که به شرکت‌های فناوری مشروع infiltrate می‌کنند. این افراد به عنوان کارمندان عادی ظاهر می‌شوند، اما گاهی از دسترسی خود برای دزدی وجوه یا نفوذ به سیستم‌ها استفاده می‌کنند.

این رویکرد در انتقام Munchables مشاهده شد، جایی که یک کارمند مرتبط با کره شمالی از پروتکل دارایی‌ها خالی کرد.

روش دیگر، حملات زنجیره تأمین است که در آن هکرها به تأمین‌کنندگان نرم‌افزار که به شرکت‌های رمزنگاری خدمات می‌دهند، نفوذ می‌کنند. در یک مورد، هکرهای AppleJeus بدافزاری را به یک ابزار ارتباطی پرکاربرد وارد کردند که میلیون‌ها کاربر را تحت تأثیر قرار داد.

در مورد دیگری، مهاجمان کره شمالی به یک پیمانکار کار با Radiant Capital نفوذ کردند و با استفاده از مهندسی اجتماعی در تلگرام، به دسترسی دست یافتند.

این موضوع برای رمزنگاری چه معنایی دارد

سمک‌زون هشدار داده است که عملیات سایبری کره شمالی در حال تحول است. حمله بیبیت نشان می‌دهد که هکرها اکنون به هدف قرار دادن تأمین‌کنندگان زیرساخت، نه فقط صرافی‌ها، توجه دارند.

این بدان معناست که کل اکوسیستم رمزنگاری – از کیف پول‌ها تا پلتفرم‌های قرارداد هوشمند – ممکن است در معرض خطر باشد.

برای کاربران و کسب‌وکارهای رمزنگاری، نکته کلیدی این است که تهدیدات سایبری کره شمالی فراتر از گروه لزاریوس و حملات ساده به صرافی‌ها است. صنعت به پروتکل‌های امنیتی قوی‌تر، بهبود اشتراک‌گذاری اطلاعات و آگاهی بیشتر از تهدیدات مهندسی اجتماعی نیاز دارد.