چرا هکرهای کره شمالی تهدیدی بزرگ برای دنیای ارزهای دیجیتال هستند؟
در سالهای اخیر، حوزه ارزهای دیجیتال شاهد توسعه چشمگیری بوده است. این حوزه نوظهور با ویژگیهای منحصر به فرد خود مانند بدون مرکزیت بودن، ناشناس بودن کاربران و امکان انجام تراکنشهای فرامرزی، توجه بسیاری را به خود جلب کرده است. ولی همین ویژگیها، این حوزه را به هدفی جذاب برای سوءاستفادههای مالی و فعالیتهای مجرمانه نیز تبدیل کرده است.
یکی از بازیگران اصلی در این عرصه، کره شمالی است. این کشور که تحت تحریمهای شدید بینالمللی قرار دارد، از مدتها پیش تلاش کرده تا با استفاده از فناوریهای نوین، راههایی برای دور زدن این تحریمها پیدا کند. حال، مطالعات جدید نشان میدهد که کره شمالی به طور گستردهای در حوزه ارزهای دیجیتال نفوذ کرده و از این طریق، میلیونها دلار برای تامین مالی برنامههای هستهای و موشکی خود به دست آورده است.
در این گزارش، به بررسی دقیق نحوه نفوذ کره شمالی در حوزه ارزهای دیجیتال، روشهای مورد استفاده آنها و پیامدهای این اقدامات خواهیم پرداخت.
روشهای نفوذ کره شمالی
نفوذ کره شمالی در حوزه ارزهای دیجیتال بیانگر پیچیدگی و تکامل تهدیدات سایبری در عصر حاضر است. این کشور با بهرهگیری از فناوریهای نوین و استفاده از شکافهای موجود در سیستمهای امنیتی، توانسته است به طور گسترده در این حوزه رخنه کند. در ادامه، به بررسی دقیقتر روشهای اصلی مورد استفاده کره شمالی برای نفوذ در این حوزه میپردازیم.
استخدام مخفیانه متخصصان فناوری اطلاعات
یکی از مهم ترین روشهای کره شمالی برای نفوذ در حوزه ارزهای دیجیتال، استخدام مخفیانه متخصصان فناوری اطلاعات (IT) است. این افراد با هویتهای جعلی و مدارک ساختگی، در کمپانیهای مختلف فعال در حوزه زنجیره بلوکی و ارزهای دیجیتال استخدام میشوند.
طبق مطالعات انجام شده توسط کویندسک (Coindesk)، چندین کمپانی بلاک چینی به طور ناخواسته این متخصصان کره شمالی را استخدام کردهاند. این افراد با ارائه رزومههای قوی و گذراندن مصاحبههای فنی، موفق به کسب موقعیتهای شغلی در این کمپانیها شدهاند.
یکی از نمونههای بارز این موضوع، کمپانی تروفلیشن (Truflation) است. استفان راست (Stefan Rust)، مؤسس این کمپانی، در مصاحبه با کویندسک اعلام کرد که بیش از یک سوم تیم او یعنی پنج نفر از کارمندانش، در واقع شهروندان کره شمالی بودهاند که با هویتهای جعلی استخدام شده بودند.
ایجاد هویتهای جعلی و قابل اعتماد
متخصصان IT کره شمالی برای نفوذ در کمپانیهای رمز ارز، هویتهای جعلی بسیار پیچیده و قابل اعتمادی ایجاد میکنند. آنها از مدارک جعلی مانند پاسپورت و کارت شناسایی استفاده میکنند که به چشم غیرمتخصص، تشخیص جعلی بودن آنها بسیار دشوار است.
علاوه بر این، این افراد سابقه کاری قابل توجهی در پروژههای متنباز در گیتهاب (GitHub) ایجاد میکنند. این سوابق که گاه به سالهای ۲۰۱۶ و ۲۰۱۷ برمیگردد، به آنها اعتبار بیشتری میبخشد و احتمال استخدامشان را بالا رفتن میدهد.
بهرهبرداری از ماهیت بدون مرکزیت حوزه ارزهای دیجیتال
حوزه ارزهای دیجیتال به دلیل ماهیت بدون مرکزیت و جهانی خود، بستر مناسبی برای نفوذ کره شمالی فراهم کرده است. بسیاری از کمپانیهای این حوزه، کارمندان خود را به صورت دورکاری و حتی به صورت ناشناس استخدام میکنند. این ویژگی، کار را برای متخصصان IT کره شمالی آسانتر کرده است.
تیلور مونهان (Taylor Monahan)، مدیر محصول در کیف پول متامسک (MetaMask)، در این باره میگوید:
جایی که آنها بیشترین موفقیت را در استخدام داشتهاند، تیمهای تازهتاسیس و نوپایی هستند که مایلاند افراد را از طریق دیسکورد (Discord) استخدام کنند. این کمپانیها فرآیندهایی برای استخدام افراد با بررسی سوابق ندارند و اغلب مایلاند حقوق را با رمز ارز پرداخت کنند.
مقیاس و گستردگی نفوذ
مطالعات کویندسک نشان میدهد که نفوذ کره شمالی در حوزه ارزهای دیجیتال بسیار گستردهتر از آن چیزی است که پیشتر تصور میشد. تقریباً هر مدیر استخدامی که کویندسک با او مصاحبه کرده، اذعان داشته که یا با متخصصان IT مشکوک به ارتباط با کره شمالی مصاحبه کرده، یا ناخواسته آنها را استخدام کرده و یا کسی را میشناسد که این تجربه را داشته است.
زاکی مانیان (Zaki Manian)، یک توسعهدهنده برجسته زنجیره بلوکی، اظهار داشته است:
در کل حوزه ارزهای دیجیتال، بیش از ۵۰ درصد رزومههای دریافتی یا افرادی که درخواست کار میکنند یا میخواهند مشارکت کنند، احتمالاً از کره شمالی هستند. همه در تلاشاند تا این افراد را فیلتر کنند.
بعضی از پروژههای شناختهشده زنجیره بلوکی که به طور ناخواسته متخصصان IT کره شمالی را استخدام کردهاند عبارتند از:
- کازموس هاب (Cosmos Hub)
- اینجکتیو (Injective)
- زیرولند (ZeroLend)
- فانتوم (Fantom)
- سوشی (Sushi)
- یرن فایننس (Yearn Finance)
این اولین بار است که این کمپانیها به طور علنی اذعان میکنند که ناخواسته متخصصان IT کره شمالی را استخدام کردهاند.
پیامدها و تهدیدات
پیامدها و تهدیدات ناشی از نفوذ کره شمالی در حوزه ارزهای دیجیتال، فراتر از مرزهای این حوزه است و میتواند تأثیرات گستردهای بر ایمنی ملی کشورها و ثبات مالی جهانی داشته باشد. این موضوع نشان میدهد که حوزه ارزهای دیجیتال نیازمند همکاری نزدیکتر با نهادهای امنیتی و مقرراتگذاری است تا بتواند در برابر این تهدیدات مقاومت کند. در ادامه، به بررسی دقیقتر این پیامدها و تهدیدات میپردازیم.
ریسکهای امنیتی
استخدام ناخواسته متخصصان IT کره شمالی، تهدیدات امنیتی جدی برای کمپانیهای رمز ارز به همراه دارد. این افراد میتوانند از دسترسی خود به سیستمها و کدها برای اهداف مخرب استفاده کنند.
در چندین مورد، کمپانیهایی که متخصصان IT کره شمالی را استخدام کرده بودند، بعداً قربانی حملات هکری شدند. در بعضی موارد، کویندسک توانست ارتباط مستقیمی بین این حملات و متخصصان IT کره شمالی که در آن کمپانیها کار میکردند، پیدا کند.
یکی از نمونههای بارز این موضوع، حمله هکری به پلتفرم MISO متعلق به سوشی در سپتامبر ۲۰۲۱ است که منجر به سرقت ۳ میلیون دلار شد. مطالعات کویندسک نشان میدهد که این حمله احتمالاً توسط دو توسعهدهندهای انجام شده که قبلاً توسط سوشی استخدام شده بودند و ارتباطات مالی آنها با کره شمالی مشخص شده است.
ریسکهای قانونی
استخدام و پرداخت حقوق به متخصصان IT کره شمالی، حتی به صورت ناخواسته، نقض تحریمهای نهاد ملل متحد به شمار میرود و در ایالات متحده و بسیاری از کشورهای دیگر غیرقانونی است.
طبق مقررات ایالات متحده، کمپانیها حتی اگر ندانند که در حال استخدام شهروندان کره شمالی هستند، مسئولیت قانونی دارند. این معنا حقوقی مسئولیت محض نامیده میشود.
با اینحال، تا به امروز هیچ کمپانی ارز دیجیتالی به دلیل استخدام متخصصان IT کره شمالی تحت پیگرد قانونی قرار نگرفته است. به نظر میرسد مقامات آمریکایی تا حدودی درک میکنند که این کمپانیها قربانی یک کلاهبرداری پیچیده شدهاند.
تامین مالی برنامههای تسلیحاتی کره شمالی
طبق گزارش نهاد ملل متحد در سال ۲۰۲۴، متخصصان IT کره شمالی سالانه تا ۶۰۰ میلیون دلار برای رژیم کیم جونگ اون (Kim Jong Un) درآمد کسب میکنند. بخش عمدهای از این درآمد صرف تامین مالی برنامههای تسلیحات هستهای و موشکهای بالستیک کره شمالی میشود.
علاوه بر این، طبق گزارشها، کره شمالی در هفت سال گذشته بیش از ۳ میلیارد دلار رمز ارز از طریق حملات هکری به سرقت برده است. بنابراین، استخدام متخصصان IT کره شمالی نه تنها یک ریسک امنیتی و قانونی برای کمپانیها به شمار میرود، بلکه به طور غیرمستقیم به ارتقا توان نظامی این کشور نیز یاری میدهد.
چالشهای شناسایی و مقابله
چالشهای شناسایی و مقابله با نفوذ کره شمالی در حوزه ارزهای دیجیتال، بیانگر پیچیدگی و تکامل تهدیدات سایبری در عصر حاضر است. این موانع نه تنها نیازمند راهکارهای فنی پیشرفته هستند، بلکه مستلزم تغییر در فرهنگ سازمانی و رویکردهای مدیریتی نیز میباشند. در ادامه، به بررسی دقیقتر این موانع و راهکارهای احتمالی برای مقابله با آنها میپردازیم.
دشواری تشخیص هویتهای جعلی
یکی از بزرگترین موانع در مقابله با نفوذ کره شمالی، دشواری تشخیص هویتهای جعلی است. متخصصان IT کره شمالی از مدارک جعلی بسیار پیشرفته استفاده میکنند که تشخیص آنها حتی برای کارشناسان نیز دشوار است.
استفان راست، مؤسس تروفلیشن، میگوید:
آنها پاسپورت و کارت شناسایی برای ما فرستادند، سابقه گیتهاب داشتند، آزمون فنی را گذراندند، و سپس ما آنها را استخدام کردیم.
این نشان میدهد که حتی کمپانیهایی که تلاش میکنند فرآیند استخدام دقیقی داشته باشند، امکان دارد فریب این هویتهای جعلی را بخورند.
تغییر مداوم هویت و آدرسهای پرداخت
متخصصان IT کره شمالی برای جلوگیری از شناسایی، به طور مرتب هویت و آدرسهای پرداخت خود را تغییر میدهند. به گفته مؤسس پروژه کلاستر (Cluster)، هر دو هفته یک بار آدرس پرداخت خود را تغییر میدادند و تقریباً هر ماه نام خود را در دیسکورد یا تلگرام (Telegram) عوض میکردند. این تغییرات مداوم، ردیابی و شناسایی این افراد را بسیار دشوار میکند.
استفاده از ویپیان و آیپیهای مختلف
متخصصان IT کره شمالی برای پنهان کردن موقعیت واقعی خود، از ویپیان (VPN) و آیپی (IP)های مختلف استفاده میکنند. طبق مطالعات داخلی سوشی، بعضی از این افراد از آدرسهای آیپی در کشور روسیه استفاده میکردند، جایی که طبق گزارش دفتر کنترل سرمایههای خارجی (OFAC)، بعضی از متخصصان IT کره شمالی در آنجا مستقر هستند.
راهکارها و توصیهها
مقابله با تهدیدات پیچیده و پیشرفتهای مانند نفوذ کره شمالی در حوزه ارزهای دیجیتال، نیازمند رویکردی جامع و چندوجهی است. این راهکارها و توصیهها نه تنها باید جنبههای فنی را پوشش دهند، بلکه باید به ابعاد انسانی، سازمانی و قانونی این چالش نیز توجه کنند. در ادامه، به بررسی بعضی از مهمترین راهکارها و توصیههایی میپردازیم که میتوانند به کمپانیهای فعال در حوزه ارزهای دیجیتال در مقابله با این تهدید کمک کنند.
بهبود فرآیندهای استخدام و بررسی سوابق
کمپانیهای فعال در حوزه ارزهای دیجیتال باید فرآیندهای استخدام و بررسی سوابق خود را ارتقا کنند. استفاده از سرویس ها حرفهای بررسی سوابق میتواند به شناسایی مدارک جعلی کمک کند.
الزام به روشن کردن دوربین در جلسات آنلاین
یکی از راهکارهای ساده ولی موثر، الزام کارمندان دورکار به روشن کردن دوربین در جلسات آنلاین است. این کار میتواند به شناسایی مواردی کمک کند که چند نفر به جای یک فرد کار میکنند.
آموزش کارکنان راجع به تهدیدات امنیتی
آموزش مداوم کارکنان راجع به تهدیدات امنیتی و روشهای شناسایی فعالیتهای مشکوک میتواند به نزول خطر نفوذ کمک کند.
استفاده از تکنولوژیهای نوین تشخیص هویت
استفاده از تکنولوژیهای نوین تشخیص هویت، مانند تشخیص چهره یا احراز هویت چندعاملی، میتواند به شناسایی هویتهای جعلی کمک کند.
همکاری با نهادهای قانونی و امنیتی
کمپانیهای رمز ارز باید در صورت مشاهده فعالیتهای مشکوک، با نهادهای قانونی و امنیتی همکاری کنند. این همکاری میتواند به شناسایی و مقابله با تهدیدات کمک کند.
نمونههای موردی
بررسی نمونههای موردی، درسهای ارزشمندی را برای حوزه ارزهای دیجیتال به همراه دارد. این موارد نشان میدهند که حتی کمپانیهای بزرگ و باتجربه نیز میتوانند قربانی نفوذ کره شمالی شوند. تحلیل دقیق این موارد میتواند به شناسایی نقاط ضعف مشترک و ارائه راهکارهای موثرتر برای مقابله با این تهدید کمک کند. در ادامه، به بررسی بعضی از مهمترین نمونههای موردی در این زمینه میپردازیم.
تروفلیشن
همانطور که گفته شد کمپانی تروفلیشن یکی از نمونههای بارز نفوذ گسترده کره شمالی است. استفان راست، مؤسس این کمپانی، متوجه شد که پنج نفر از کارمندانش، بیش از یک سوم کل تیم در واقع شهروندان کره شمالی بودهاند که با هویتهای جعلی استخدام شده بودند.
این افراد ادعا میکردند که در ژاپن، مونترال، ونکوور، هیوستون و سنگاپور مستقر هستند. آنها با ارائه مدارک جعلی و گذراندن آزمونهای فنی، موفق به استخدام شده بودند.
پس از کشف این موضوع، تروفلیشن بلافاصله ارتباط خود را با این افراد قطع کرد، یک ممیزی امنیتی از کد خود انجام داد و فرآیندهای بررسی سوابق خود را ارتقا کرد.
سوشی و حمله به MISO
در سپتامبر ۲۰۲۱، پلتفرم MISO متعلق به سوشی که یکی از پروژههای مطرح در حوزه امور مالی بدون مرکزیت (دیفای) است، مورد حمله هکری قرار گرفت و ۳ میلیون دلار به سرقت رفت. مطالعات نشان داد که این حمله احتمالاً توسط دو توسعهدهندهای انجام شده که قبلاً توسط سوشی استخدام شده بودند.
این دو توسعهدهنده که با نامهای آنتونی کلر (Anthony Keller) و ساوا گروجیک (Sava Grujic) شناخته میشدند، رزومههای قوی و سابقه کاری قابل توجهی داشتند. آنها حتی در پروژههای معتبری مانند یرن فایننس کار کرده بودند. با اینحال، مطالعات بعدی نشان داد که این دو نفر احتمالاً یک فرد یا نهاد واحد بودهاند که با کره شمالی در ارتباط بودهاند.
این مورد نشان میدهد که حتی پروژههای بزرگ و شناختهشده نیز میتوانند قربانی نفوذ کره شمالی شوند.
ایکلوشن و ارتباط با مقامات کره شمالی
زاکی مانیان، مؤسس کمپانی ایکلوشن (Iqlusion)، در سال ۲۰۲۱ دو توسعهدهنده فریلنسر را برای کمک به ارتقای زنجیره بلوکی معروف کازموس هاب استخدام کرد. این دو نفر که خود را جون کای (Jun Kai) و ساراوت سنیت (Sarawut Sanit) معرفی میکردند، ادعا داشتند که در سنگاپور مستقر هستند.
دو سال پس از اتمام کار، مانیان ایمیلی از یک مامور افبیآی (FBI) دریافت کرد که راجع به جابجایی نشانهایی که ظاهراً از ایکلوشن به آدرسهای کیف پول مرتبط با کره شمالی فرستاده شده بود، تحقیق میکرد.
بررسیهای بعدی نشان داد که این دو توسعهدهنده درآمد خود را به دو فرد در لیست تحریمهای OFAC منتقل میکردند: کیم سنگ من (Kim Sang Man) و سیم هیون سوپ (Sim Hyon Sop). این افراد نمایندگان بانکها و کمپانیهای کره شمالی هستند که در تامین مالی برنامههای تسلیحاتی این کشور نقش دارند.
این مورد نشان میدهد که حتی پروژههای دارای اعتبار و شناختهشده در حوزه زنجیره بلوکی نیز میتوانند ناخواسته به تامین مالی فعالیتهای غیرقانونی کره شمالی کمک کنند.
تاثیر بر حوزه ارزهای دیجیتال
تاثیر نفوذ کره شمالی بر حوزه ارزهای دیجیتال، فراتر از مسائل امنیتی و مالی است. این موضوع میتواند باعث تغییرات اساسی در ساختار، فرهنگ و رویکردهای این حوزه شود. از یک سو، این چالش میتواند منجر به بالا رفتن همکاریهای بینالمللی و بهبود استانداردهای امنیتی شود، و از سوی دیگر، امکان دارد باعث نزول اعتماد عمومی و بالا رفتن کنترلهای دولتی گردد. در ادامه، به بررسی دقیقتر بعضی از مهمترین تاثیرات این موضوع بر حوزه ارزهای دیجیتال میپردازیم.
بالا رفتن دلواپسیهای امنیتی
نفوذ گسترده کره شمالی در حوزه ارزهای دیجیتال، دلواپسیهای جدی راجع به ایمنی این حوزه ایجاد کرده است. این موضوع میتواند اعتماد سرمایهگذاران و کاربران را به شدت تحت تاثیر قرار دهد.
بالا رفتن فشار نظارتی
با آشکار شدن گستردگی نفوذ کره شمالی، احتمال بالا رفتن فشار نظارتی بر حوزه ارزهای دیجیتال وجود دارد. این میتواند منجر به وضع مقررات و مقررات سختگیرانهتر شود که امکان دارد ابتکار در این حوزه را محدود کند.
تغییر در فرهنگ استخدام
این رویدادها احتمالاً منجر به تغییرات اساسی در فرهنگ استخدام حوزه ارزهای دیجیتال خواهد شد. کمپانیها امکان دارد از استخدام کارمندان دورکار و ناشناس خودداری کنند و به سمت فرآیندهای استخدام سنتیتر و با کنترل بیشتر حرکت کنند.
بالا رفتن هزینههای امنیتی
کمپانیهای فعال در حوزه ارزهای دیجیتال احتمالاً مجبور خواهند شد هزینههای بیشتری را صرف ایمنی و بررسی سوابق کارمندان کنند. این میتواند بر سودآوری این کمپانیها تاثیر منفی بگذارد.
نتیجهگیری
نفوذ گسترده کره شمالی در حوزه ارزهای دیجیتال، چالشی جدی برای این حوزه نوظهور به شمار میرود. این موضوع نه تنها ایمنی و اعتبار این حوزه را تهدید میکند، بلکه میتواند منجر به تغییرات اساسی در نحوه کارایی و کنترل بر آن شود.
برای مقابله با این تهدید، همکاری نزدیک بین کمپانیهای رمز ارز، نهادهای نظارتی و نهادهای امنیتی ضروری است. همچنین، کمپانیها باید فرآیندهای استخدام و کنترل خود را بهبود بخشند و از تکنولوژیهای نوین برای شناسایی و مقابله با تهدیدات استفاده کنند.
با اینحال، این چالش همچنین فرصتی برای حوزه ارزهای دیجیتال است تا استانداردهای امنیتی و وضوح خود را ارتقا دهد. این میتواند در نهایت به بالا رفتن اعتماد عمومی و پذیرش گستردهتر ارزهای دیجیتال کمک کند.
در پایان، باید توجه داشت که مبارزه با نفوذ کره شمالی در حوزه ارزهای دیجیتال، نیازمند تلاشی مستمر و همهجانبه است. این نه تنها یک مسئله امنیتی برای حوزه ارزهای دیجیتال، بلکه یک چالش جهانی در مبارزه با تامین مالی تروریسم و گسترش سلاحهای کشتار جمعی است.
