هک ۵۰ میلیون دلاری Radiant Capital توسط هکرهای کره شمالی با بدافزار تلگرام

Radiant Capital: هکرهای کره شمالی با جعل هویت پیمانکار سابق، حمله ۵۰ میلیون دلاری را انجام دادند

Radiant Capital اعلام کرد که هک ۵۰ میلیون دلاری پلتفرم امور مالی غیرمتمرکز (DeFi) آنها در اکتبر، از طریق بدافزاری انجام شده که توسط یک هکر مرتبط با کره شمالی و با جعل هویت یک پیمانکار سابق، از طریق تلگرام ارسال شده بود. Radiant در به‌روزرسانی ۶ دسامبر تحقیقات جاری خود اعلام کرد که شرکت امنیت سایبری Mandiant با اطمینان بالا این حمله را به یک عامل تهدید مرتبط با جمهوری دموکراتیک خلق کره (DPRK) نسبت داده است.

این پلتفرم اعلام کرد که در ۱۱ سپتامبر، یک توسعه‌دهنده Radiant از یک «پیمانکار سابق مورد اعتماد» پیامی در تلگرام دریافت کرد که حاوی یک فایل زیپ بود و از او خواسته شده بود تا نظر خود را درباره یک پروژه جدید که در حال برنامه‌ریزی بودند، ارائه دهد. «پس از بررسی، این پیام مشکوک به نظر می‌رسد که از سوی یک عامل تهدید مرتبط با DPRK که خود را به جای پیمانکار سابق جا زده، ارسال شده است.» این فایل زیپ، زمانی که برای بررسی به سایر توسعه‌دهندگان به اشتراک گذاشته شد، در نهایت بدافزاری را منتقل کرد که به نفوذ بعدی کمک کرد.

در ۱۶ اکتبر، این پلتفرم DeFi مجبور شد بازارهای وام‌دهی خود را پس از آنکه یک هکر کنترل کلیدهای خصوصی و قراردادهای هوشمند چندین امضاکننده را به دست گرفت، متوقف کند. گروه‌های هکری کره شمالی در ۱۲ نوامبر در حال حمله به کاربران macOS با یک کمپین بدافزار جدید از طریق ایمیل‌های فیشینگ، برنامه‌های PDF جعلی و روشی برای دور زدن بررسی‌های امنیتی اپل شناسایی شدند. در اکتبر، هکرهای کره شمالی همچنین در حال سوءاستفاده از یک آسیب‌پذیری در مرورگر کروم گوگل برای سرقت اطلاعات کیف پول‌های رمزنگاری بودند.

Radiant اعلام کرد که این فایل هیچ شکی برنینگیخت زیرا «درخواست‌های بررسی فایل‌های PDF در محیط‌های حرفه‌ای معمول است» و توسعه‌دهندگان «اغلب اسناد را به این فرمت به اشتراک می‌گذارند.» دامنه مرتبط با این فایل زیپ نیز وب‌سایت معتبر پیمانکار را جعل کرده بود. در طول این حمله، دستگاه‌های چندین توسعه‌دهنده Radiant به خطر افتاد و رابط‌های کاربری تراکنش‌های عادی را نمایش می‌دادند در حالی که تراکنش‌های مخرب در پس‌زمینه امضا می‌شدند.

«بررسی‌ها و شبیه‌سازی‌های سنتی هیچ تفاوت آشکاری نشان نداد و این تهدید را در مراحل بررسی عادی تقریباً نامرئی کرد.» Radiant افزود: «این فریب به قدری بی‌نقص انجام شد که حتی با وجود بهترین روش‌های استاندارد Radiant، مانند شبیه‌سازی تراکنش‌ها در Tenderly، بررسی داده‌های تراکنش و پیروی از SOPهای استاندارد صنعت در هر مرحله، مهاجمان توانستند دستگاه‌های چندین توسعه‌دهنده را به خطر بیندازند.»

Radiant Capital معتقد است که عامل تهدید مسئول این حمله با نام «UNC4736» که به عنوان «Citrine Sleet» نیز شناخته می‌شود، مرتبط با اداره کل شناسایی کره شمالی (RGB) است و گمان می‌رود که زیرمجموعه‌ای از گروه هکری لازاروس باشد. هکرها در ۲۴ اکتبر حدود ۵۲ میلیون دلار از وجوه سرقت شده را منتقل کردند.

«این حادثه نشان می‌دهد که حتی SOPهای دقیق، کیف پول‌های سخت‌افزاری، ابزارهای شبیه‌سازی مانند Tenderly و بررسی‌های انسانی دقیق می‌توانند توسط عوامل تهدید بسیار پیشرفته دور زده شوند.» Radiant Capital در به‌روزرسانی خود نوشت: «اتکا به امضای کور و تأییدات رابط کاربری که می‌توانند جعل شوند، نیاز به توسعه راه‌حل‌های قوی‌تر در سطح سخت‌افزار برای رمزگشایی و تأیید داده‌های تراکنش را ضروری می‌کند.»

این اولین بار نیست که Radiant امسال به خطر افتاده است. این پلتفرم در ژانویه پس از یک حمله وام فلش ۴.۵ میلیون دلاری بازارهای وام‌دهی خود را متوقف کرد. پس از دو حمله امسال، ارزش کل قفل شده Radiant به طور قابل توجهی کاهش یافته و از بیش از ۳۰۰ میلیون دلار در پایان سال گذشته به حدود ۵.۸۱ میلیون دلار در ۹ دسامبر رسیده است.