نفوذ کارمندان کره‌شمالی در حوزه رمزارزها: سرقت میلیون‌ها دلار با ترفندهای فیشینگ و هویت‌ جعلی

محققان امنیت سایبری شرکت‌های گوگل کلود و ویز هشدار دادند که کارمندان فناوری اطلاعات کره‌شمالی با استفاده از هویت‌های جعلی وارد شرکت‌های فعال در حوزه رمزارز می‌شوند و از طریق کلاهبرداری‌های مرتبط با شغل‌های از راه دور، میلیون‌ها دلار دارایی دیجیتال را سرقت می‌کنند.

در گزارش‌های جداگانه‌ای که توسط این شرکت‌ها منتشر شده، گروه تهدید کره‌شمالی به نام UNC4899، معروف به TraderTraitor، شناسایی شده است. این گروه که با سرویس اطلاعات خارجی کره‌شمالی، موسوم به دفتر اطلاعات عمومی (Reconnaissance General Bureau)، مرتبط است، از سال ۲۰۲۰ میلادی به فعالیت در حوزه بلاکچین و رمزارزها ادامه می‌دهد.

گروه مذکور از تاکتیک‌های پیشرفته مهندسی اجتماعی و حملات مبتنی بر فناوری‌های ابری بهره می‌برد تا نفوذ خود را گسترش دهد و دارایی‌های دیجیتال را سرقت کند. تحقیقات نشان می‌دهد که این فعالیت‌ها بخشی از تلاش‌های مستمر کره‌شمالی برای بهره‌برداری از بازار رمزارزها و فناوری‌های نوین مالی است.

راه‌های نفوذ UNC4899 به محیط‌های ابری

گوگل دو حادثه جداگانه را گزارش کرده است که در آن گروه هکری UNC4899، به صورت هدفمند به شبکه‌های داخلی چندین سازمان نفوذ کرده است. در هر دو مورد، هکرها با تظاهر به عنوان کارفرمایان آزاد و استخدام‌کنندگان فریلنس، از طریق لینکدین یا تلگرام با کارمندان تماس گرفته و آنان را ترغیب کردند تا کانتینرهای مخرب Docker را روی سیستم‌های کاری خود اجرا کنند.

پس از برقراری ارتباط، این گروه با نفوذ در شبکه‌های داخلی، اطلاعات کاربری و رمزعبورها را سرقت کرده و زیرساخت‌های مورد استفاده در تراکنش‌های رمزارزی را شناسایی کرد. در یکی از این موارد، هکرها توانستند با غیرفعال‌سازی تایید هویت دو مرحله‌ای (MFA) در حساب Google Cloud دارای امتیاز، به خدمات مربوط به کیف‌پول‌های رمزارزی دست یابند. پس از سرقت رمزارزهای معادل چند میلیون دلار، مجدداً MFA را فعال کرده و تلاش کردند هویت خود را مخفی نگه دارند.

در حادثه دیگری مرتبط با AWS، مهاجمان با استفاده از کلیدهای دسترسی بلندمدت سرقت‌شده، با محدودیت‌هایی مواجه شدند که توسط سیاست‌های MFA و اعتبارنامه‌های موقت اعمال شده بود. برای غلبه بر این محدودیت‌ها، مهاجمان با سرقت کوکی‌های نشست، توانستند فایل‌های جاوااسکریپت در سطل‌های S3 را تغییر دهند و تراکنش‌های رمزارزی را به آدرس‌های کنترل‌شده توسط خود هدایت کنند. این حمله منجر به سرقت چندین میلیون دلار دیگر شد.

این گزارش نشان می‌دهد گروه UNC4899 از روش‌های مهندسی اجتماعی و نفوذ فنی پیچیده برای سرقت دارایی‌های رمزارزی در سطح جهانی بهره می‌برد و تلاش می‌کند با نفوذ به سیستم‌های امنیتی، از امکانات موجود برای سرقت‌های کلان بهره‌برداری کند.

عملیات گسترده

شرکت امنیت ابری وایز (Wiz) در تازه‌ترین گزارش خود، تحلیل‌هایی را درباره گروه UNC4899 منتشر کرده است که هم‌راستا با یافته‌های گوگل (Google) است. بر اساس این گزارش، این گروه هکری با چندین نام مستعار از جمله Jade Sleet، Slow Pisces و TraderTraitor شناخته می‌شود و هر یک نشان‌دهنده مجموعه‌ای از تاکتیک‌های مختلف است که توسط نهادهای تحت حمایت دولت کره شمالی، مانند گروه لازارس (Lazarus Group)، بلو نوراف (BlueNoroff) و APT38 به کار گرفته می‌شود.

این گروه از سال 2020 فعالیت خود را آغاز کرده است، اما در سال 2023 تمرکز اصلی حملات آن بر فیشینگ و پیشنهادهای شغلی جعلی قرار گرفت، به‌ویژه علیه کارمندان صرافی‌های رمزارز. از جمله حملات مشهور این گروه می‌توان به نفوذ به صرافی ژاپنی DMM بیت‌کوین به ارزش 305 میلیون دلار و حمله به بای‌بات (Bybit) در اواخر سال 2024 اشاره کرد که خسارت‌های سنگینی به دنبال داشت.

شرکت وایز هشدار داد که زیرساخت‌های ابری همچنان نقطه آسیب‌پذیر و محل نفوذ اصلی برای این نوع حملات هستند، چراکه بسیاری از شرکت‌های رمزارز در محیط‌های مبتنی بر ابر فعالیت می‌کنند و امکانات دفاعی در مراکز داده محلی محدود است.

مبالغ زیادی در رمزارزها از دست رفت

برآوردهای خسارات مالی ناشی از حملات سایبری و سرقت‌های رمزارزی همچنان بالا و قابل توجه است. بر اساس گزارش‌های گوگل و وایز، تنها در پرونده UNC4899، چندین میلیون دلار در هر حادثه سرقت شده است. تحقیقات مستقل و نهادهای دولتی نیز خسارات بزرگ‌تری را گزارش می‌کنند که نشان‌دهنده حجم بالای ضررها در این حوزه است.

شرکت تحلیل داده‌های بلاک‌چین، چینالیس (Chainalysis)، در گزارشی مربوط به سال ۲۰۲۴ اعلام کرد که هکرهای کره شمالی در آن سال تنها، حدود ۱.۳۴ میلیارد دلار رمزارز سرقت کرده‌اند. همچنین، پژوهشگران وایز تخمین زده‌اند که تاکنون در سال ۲۰۲۵، بازیگران تهدید مرتبط با کره شمالی حدود ۱.۶ میلیارد دلار دارایی دیجیتال را به سرقت برده‌اند.

از سوی دیگر، زک ایکس‌بی‌تی (ZachXBT)، محقق مستقل در حوزه بلاک‌چین، برآورد کرده است که بین ۳۴۵ تا ۹۲۰ نفر از کارمندان و فعالان مرتبط با کره شمالی در صنعت رمزارزها فعالیت دارند و از ابتدای سال ۲۰۲۵، مجموعاً بیش از ۱۶ میلیون دلار حقوق دریافت کرده‌اند.

منبع: کریپتو.نیوز