گروه لازاروس جاسوسانی را برای تأسیس شرکتهای صوری در ایالات متحده به منظور فریب توسعهدهندگان ارزهای دیجیتال راهاندازی کرده است: گزارش
محققان Silent Push ادعا میکنند که جاسوسان سایبری گروه لازاروس کره شمالی، شرکتهای پوششی در ایالات متحده با نامهای جعلی ایجاد کردهاند تا توسعهدهندگان ارزهای دیجیتال را با بدافزار آلوده کنند.
بر اساس گزارش اخیر رویترز، شرکت امنیت سایبری آمریکایی Silent Push دو شرکت پوششی را شناسایی کرده است که میتوان آنها را به گروه هکر کره شمالی نسبت داد. محققان ادعا کردند که این دو شرکت، Blocknovas LLC و Softglide LLC، به ترتیب در نیومکزیکو و نیویورک تحت عناوین و آدرسهای جعلی تأسیس شدهاند.
با بررسی بیشتر، رویترز متوجه شد که آدرس ذکر شده برای Blocknovas در واررویل، کارولینای جنوبی به عنوان یک زمین خالی در نقشههای گوگل ظاهر شده است. در همین حال، آدرس Softglide در بافالو، نیویورک در اختیار یک دفتر مالی کوچک بود. علاوه بر این، افراد تماسی که زیر این شرکتها ذکر شده بودند، یافت نشدند.
مدیر اطلاعات تهدید در Silent Push، کیسی بست، این موضوع را “نمونهای نادر از هکرهای کره شمالی که موفق به تأسیس نهادهای شرکتی قانونی در ایالات متحده شدهاند” نامید. او توضیح داد که چگونه هکرهای گروه لازاروس قصد دارند کاربران را از طریق درخواستهای شغلی جعلی آلوده کنند که با حداقل سه نوع بدافزار شناسایی شده مرتبط با عملیات سایبری کره شمالی برخوردار است.
حملات سایبری مخرب از نامهای جعلی برای ارائه مصاحبههای شغلی به توسعهدهندگان بالقوه ارز دیجیتال یا وب3 استفاده میکنند، که به هکرها این امکان را میدهد تا بدافزارهای پیچیدهای را برای به خطر انداختن کیف پولهای ارز دیجیتال توسعهدهندگان مستقر کنند.
“آنها همچنین به رمزهای عبور و مدارک توسعهدهندگان حمله کرده و میتوانند از آنها برای حملات بیشتر به کسبوکارهای مشروع استفاده کنند” گفت بست.
گروه هکرهای پشت این شرکتها ظاهراً بخشی از یک زیرگروه درون گروه لازاروس هستند، که بخشی از دفتر کل شناسایی است، آژانس اصلی اطلاعات خارجی پیونگ یانگ. گروه لازاروس به عنوان عاملانی شناخته میشود که در برخی از بزرگترین هکهای ارز دیجیتال تاریخ، از جمله هک اخیر Bybit که منجر به از دست دادن تا ۱.۵ میلیارد دلار شد، شرکت داشتهاند.
هنگامی که از اداره ایالت نیویورک درباره این شرکتهای پوششی و ارتباط احتمالی آنها با گروه هکر کره شمالی سؤال شد، این اداره از ارائه نظر در مورد شرکتهای ثبتشده در ایالت خود خودداری کرد. در همین حال، دفتر وزیر امور خارجه نیومکزیکو به رویترز در یک ایمیل اعلام کرد که هیچ راهی برای شناخت ارتباط این شرکت با کره شمالی ندارد.
در تاریخ ۲۴ آوریل، FBI اطلاعیه توقیف دامنهای را در وبسایت Blocknovas منتشر کرد و گفت: “به عنوان بخشی از اقدام اجرای قانون علیه بازیگران سایبری کره شمالی که از این دامنه برای فریب افراد با آگهیهای شغلی جعلی و توزیع بدافزار استفاده کردهاند.”
