«ما نمیتوانیم دشمنی را که نمیشناسیم شکست دهیم»: پژوهشگر درباره تغییر رویکردهای کره شمالی در عرصه ارز دیجیتال هشدار میدهد.
تحقیقگر امنیت پارادایم، سامکزسان، نگرانیهایی را مطرح کرده است مبنی بر اینکه عملیات سایبری کره شمالی فراتر از گروه مشهور لازاروس است.
هشدارهای او در حالی مطرح میشود که صنعت ارزهای دیجیتال از هک اخیر بایبیت که گفته میشود شامل نفوذ پیچیدهای به زیرساختهای SafeWallet بوده، خارج میشود.
این حمله نشانهای از تغییر در رفتار هکرهای کرهای بود. به جای هدف قرار دادن مستقیم بایبیت، هکرها موفق شدند به Safe{Wallet} نفوذ کنند.
این تغییر در تاکتیکها سطح بالاتر پیچیدگی استراتژیهای آنها را نشان میدهد و نگرانیهای قابل توجهی را درباره امنیت اکوسیستم ارزهای دیجیتال به وجود میآورد.
به گفته سامکزسان، جرایم سایبری پشتیبانی شده توسط کره شمالی فقط مربوط به یک گروه نیست، بلکه شبکهای از بازیگران تهدید دولتی است که تحت نامهای مختلف فعالیت میکنند.
ساختار جنگ سایبری کره شمالی
سامکزسان سالهاست که به تجزیه و تحلیل تهدیدات سایبری کره شمالی میپردازد. او توضیح میدهد که اشاره به تمام فعالیتهای سایبری کره شمالی به عنوان "گروه لازاروس" کار را بیش از حد ساده میکند.
عملیات هکری کره شمالی عمدتاً توسط اداره کل شناسایی اجرا میشود، یک آژانس اطلاعاتی که چندین واحد هکری را نظارت میکند. این شامل نه تنها گروه لازاروس بلکه APT38، AppleJeus و سایر تیمهای تخصصی نیز میشود.
هر یک از این گروهها تمرکز متفاوتی دارند. به عنوان مثال، گروه لازاروس به خاطر حملات سایبری با پروفایل بالا شناخته میشود، از جمله هک سونی پیکچرز در ۲۰۱۴ و سرقت بانک بنگلادش در ۲۰۱۶. APT38 در جرایم مالی، از جمله تقلب بانکی و سرقت ارزهای دیجیتال تخصص دارد.
سامکزسان نوشت: "APT38 که در حدود ۲۰۱۶ از گروه لازاروس جدا شد تا بر روی جرایم مالی تمرکز کند، ابتدا بانکها (مانند بانک بنگلادش) را هدف قرار داد و سپس به سرقت ارزهای دیجیتال پرداخت."
AppleJeus به کاربران ارز دیجیتال با بدافزاری که به عنوان برنامههای معاملاتی جا زده میشود، حمله کرده است.
این گروهها تحت همان چتر دولتی فعالیت میکنند و کمک میکنند تا برنامههای تسلیحاتی کره شمالی تأمین مالی شود و از تحریمهای بینالمللی فرار کنند.
کریپتو اکنون هدف کره شمالی است
کره شمالی به ارزهای دیجیتال به عنوان یک منبع اصلی درآمد روی آورده است. بر خلاف مالی سنتی، تراکنشهای کریپتو غیرمتمرکز هستند و اغلب ردیابی یا مسدود کردن آنها دشوارتر است.
هکرهای کره شمالی از این امر بهرهبرداری کرده و با نفوذ به صرافیها، استقرار بدافزار و استفاده از پیشنهادات شغلی جعلی به سیستمهای داخلی دسترسی پیدا میکنند.
یک مثال از این مورد، بدنه عملیاتی "Wagemole" است — کارمندان فناوری اطلاعات کره شمالی که به شرکتهای فناوری مشروع نفوذ میکنند. این افراد به نظر میرسد کارکنان عادی هستند اما گاهی از دسترسی خود برای سرقت وجوه یا نفوذ به سیستمها استفاده میکنند.
این تاکتیک در بهرهبرداری Munchables مشاهده شد، جایی که یک کارمند با ارتباطات با کره شمالی داراییها را از پروتکل تخلیه کرد.
روش دیگری که استفاده میشود، حملات زنجیره تأمین است، جایی که هکرها تأمینکنندگان نرمافزار که به شرکتهای ارز دیجیتال خدمت میکنند را زیر نفوذ قرار میدهند. در یک مورد، هکرهای AppleJeus بدافزار را در یک ابزار ارتباطی که به طور وسیعی استفاده میشود، وارد کردند و بر میلیونها کاربر تأثیر گذاشتند.
در مورد دیگری، مهاجمان کره شمالی یک پیمانکار را که با Radiant Capital همکاری میکرد، نفوذ کرده و از طریق مهندسی اجتماعی در تلگرام به دسترسی دست یافتند، به گفته سامکزسان.
این موضوع برای کریپتو چه معنایی دارد
سامکزسان هشدار داد که عملیات سایبری کره شمالی در حال تکامل است. حمله به بایبیت نشان میدهد که هکرها اکنون به تأمینکنندگان زیرساخت حمله میکنند، نه فقط به صرافیها.
این به این معنی است که کل اکوسیستم کریپتو — از کیف پولها تا پلتفرمهای قراردادهای هوشمند — میتواند در معرض خطر باشد.
برای کاربران و کسبوکارهای کریپتو، نکته کلیدی این است که تهدیدات سایبری کره شمالی فراتر از گروه لازاروس و هکهای ساده صرافیها هستند. صنعت نیاز به پروتکلهای امنیتی قویتر، بهبود اشتراکگذاری اطلاعات و آگاهی بیشتر از تهدیدات مهندسی اجتماعی دارد.
