هکرهای کره شمالی؛ تهدیدی پیچیده‌تر برای کریپتو و فراتر از آن

ما نمی‌توانیم دشمنی را که نمی‌شناسیم شکست دهیم: هشدار محقق درباره تغییر تاکتیک‌های کره شمالی در حوزه کریپتو

سامکس‌سان، محقق امنیتی در پارادایم، هشدار می‌دهد که عملیات سایبری کره شمالی فراتر از گروه بدنام لازاروس است. این هشدارها در حالی مطرح می‌شود که صنعت کریپتو از هک اخیر Bybit، که گفته می‌شود شامل نفوذ پیچیده به زیرساخت SafeWallet بوده، در حال گذر است. این حمله، تغییری از حملات قبلی هکرهای کره شمالی را نشان می‌دهد. به جای هدف قرار دادن مستقیم Bybit، هکرها موفق به نفوذ به SafeWallet شدند. این تغییر در تاکتیک‌ها، نشان‌دهنده پیچیدگی فزاینده استراتژی‌های آنهاست و نگرانی‌های قابل توجهی را درباره امنیت اکوسیستم گسترده‌تر ارزهای دیجیتال ایجاد می‌کند.

شبکه‌ای از بازیگران تهدید تحت حمایت دولت

به گفته سامکس‌سان، جرایم سایبری تحت حمایت کره شمالی، فقط کار یک گروه نیست، بلکه شبکه‌ای از بازیگران تهدید تحت حمایت دولت است که با نام‌های مختلف فعالیت می‌کنند. او توضیح می‌دهد که اشاره به تمام فعالیت‌های سایبری کره شمالی به عنوان "گروه لازاروس"، ساده‌سازی بیش از حد یک شبکه بسیار پیچیده است.

عملیات هک تحت نظارت اداره کل شناسایی

عملیات هک کره شمالی عمدتاً از طریق اداره کل شناسایی، یک آژانس اطلاعاتی که بر چندین واحد هک نظارت دارد، انجام می‌شود. این واحدها شامل نه تنها گروه لازاروس، بلکه APT38، AppleJeus و سایر تیم‌های تخصصی نیز می‌شوند. هر یک از این گروه‌ها تمرکز متفاوتی دارند. به عنوان مثال، گروه لازاروس به خاطر حملات سایبری پرمخاطب، از جمله هک سونی پیکچرز در سال ۲۰۱۴ و سرقت بانک بنگلادش در سال ۲۰۱۶ شناخته شده است. APT38 در جرایم مالی، از جمله کلاهبرداری بانکی و سرقت ارزهای دیجیتال تخصص دارد.

تاکتیک‌های پیچیده و در حال تکامل

کره شمالی به ارزهای دیجیتال به عنوان یک منبع درآمد اصلی روی آورده است. برخلاف امور مالی سنتی، تراکنش‌های کریپتو غیرمتمرکز هستند و اغلب ردیابی یا مسدود کردن آنها دشوارتر است. هکرهای کره شمالی از این موضوع سوءاستفاده می‌کنند و با نفوذ به صرافی‌ها، استقرار بدافزار و استفاده از پیشنهادات شغلی جعلی برای دسترسی به سیستم‌های داخلی، اقدام می‌کنند.

یکی از نمونه‌ها، مورد عوامل "Wagemole" است - کارگران فناوری اطلاعات کره شمالی که به شرکت‌های فناوری قانونی نفوذ می‌کنند. این افراد به نظر کارمندان عادی می‌رسند، اما گاهی از دسترسی خود برای سرقت وجوه یا نفوذ به سیستم‌ها استفاده می‌کنند. این تاکتیک در سوءاستفاده از Munchables مشاهده شد، جایی که یک کارمند با ارتباطات کره شمالی دارایی‌های پروتکل را تخلیه کرد.

حملات زنجیره تأمین و نفوذ به زیرساخت‌ها

روش دیگر، حملات زنجیره تأمین است، جایی که هکرها به ارائه‌دهندگان نرم‌افزار که به شرکت‌های کریپتو خدمات می‌دهند، نفوذ می‌کنند. در یک مورد، هکرهای AppleJeus بدافزاری را در یک ابزار ارتباطی پرکاربرد قرار دادند و میلیون‌ها کاربر را تحت تأثیر قرار دادند. در موردی دیگر، مهاجمان کره شمالی به یک پیمانکار که با Radiant Capital کار می‌کرد، نفوذ کردند و از طریق مهندسی اجتماعی در تلگرام دسترسی پیدا کردند.

نیاز به پروتکل‌های امنیتی قوی‌تر

سامکس‌سان هشدار داد که عملیات سایبری کره شمالی در حال تکامل است. حمله به Bybit نشان می‌دهد که هکرها اکنون ارائه‌دهندگان زیرساخت، نه فقط صرافی‌ها، را هدف قرار می‌دهند. این بدان معناست که کل اکوسیستم کریپتو - از کیف پول‌ها تا پلتفرم‌های قرارداد هوشمند - می‌تواند در معرض خطر باشد.

برای کاربران و کسب‌وکارهای کریپتو، نکته کلیدی این است که تهدیدات سایبری کره شمالی فراتر از گروه لازاروس و هک‌های ساده صرافی‌ها است. این صنعت به پروتکل‌های امنیتی قوی‌تر، بهبود اشتراک‌گذاری اطلاعات و آگاهی بیشتر از تهدیدات مهندسی اجتماعی نیاز دارد.