کد خبر: 25119

کشف عملیات سایبری کره‌شمالی در سرقت ۶۸۰ هزار دلار رمزارز

کشف عملیات سایبری کره‌شمالی در حوزه رمزارزها با استفاده از شناسه‌های جعلی و ابزارهای عمومی برای سرقت ۶۸۰ هزار دلار

کشف عملیات سایبری کره‌شمالی در حوزه رمزارزها با استفاده از ابزارهای عمومی و هویت‌های جعلی برای سرقت ۶۸۰ هزار دلار، تأکید بر اهمیت امنیت در فضای دیجیتال.

کشف عملیات سایبری کره‌شمالی در حوزه رمزارزها با استفاده از شناسه‌های جعلی و ابزارهای عمومی برای سرقت ۶۸۰ هزار دلار

یک دستگاه هک‌شده متعلق به یک کارمند فناوری اطلاعات کره شمالی، جزئیات داخلی تیم هکرهای مسئول حمله به پلتفرم Favrr به ارزش ۶۸۰ هزار دلار را فاش کرد. این هکرها از ابزارهای گوگل برای هدف قرار دادن پروژه‌های رمزارزی بهره می‌بردند.

بر اساس تحقیقات زاک‌اکس‌بی‌تی (ZachXBT)، این ماجرا از طریق یک منبع نامشخص آغاز شد که به یکی از کامپیوترهای اعضای تیم نفوذ کرده و اسکرین‌شات‌ها، خروجی‌های گوگل درایو و پروفایل‌های کروم آنها را کشف کرد. این مدارک، روند برنامه‌ریزی و اجرای حملات را به وضوح نشان می‌داد.

با تحلیل فعالیت‌های کیف‌پول‌ها و تطابق اثر انگشت‌های دیجیتال، زاک‌اکس‌بی‌تی صحت منابع را تایید و ارتباط فعالیت‌های مالی هکرها با حمله به بازار توکن‌های طرفدار (Fan-Token) Favrr در ژوئن ۲۰۲۵ را اثبات کرد. یکی از آدرس‌های کیف‌پول، «۰x78e1a»، مستقیماً با وجوه سرقت‌شده در این حمله مرتبط است.

در جریان عملیات

گزارش‌های فاش شده حاکی از آن است که دستگاه هک‌شده، نشان می‌دهد تیمی متشکل از شش عضو، حداقل ۳۱ هویت جعلی ساخته و به کار گرفته است. این گروه برای کسب فرصت‌های شغلی در حوزه توسعه بلاک‌چین، اقدام به جمع‌آوری مدارک شناسایی صادر شده توسط دولت و شماره تلفن‌های جعلی کردند و حتی حساب‌های کاربری در پلتفرم‌هایی مانند لینکدین (LinkedIn) و آپ‌ورک (Upwork) خریداری کردند تا پوشش فعالیت‌های خود را کامل‌تر نشان دهند.

در اسناد یافت‌شده در دستگاه، مصاحبه‌ای ضبط شده بود که اعضا در آن ادعا می‌کردند سابقه همکاری با شرکت‌های معتبر در حوزه بلاک‌چین، از جمله پالی‌گان لبز (Polygon Labs)، اوپن‌سی (OpenSea) و چین‌لینک (Chainlink) را دارند.

ابزارهای گوگل نقش کلیدی در فرآیندهای سازمان‌یافته این گروه داشتند. بررسی‌ها نشان می‌دهد که آنان از جداول گوگل درایو برای پیگیری بودجه و برنامه‌ریزی استفاده می‌کردند و گوگل ترنسلیت (Google Translate) برای رفع موانع زبانی بین کره‌ای و انگلیسی به کار رفته بود.

یکی از فایل‌های مهم در این دستگاه، جدولی بود که نشان می‌داد اعضای تیم در حال اجاره کامپیوتر و پرداخت هزینه‌های VPN برای تهیه حساب‌های جدید جهت عملیات خود بودند.

این گروه همچنین از ابزارهای دسترسی از راه دور مانند انی‌دسک (AnyDesk) بهره می‌بردند تا بتوانند کنترل سیستم‌های مشتریان را بدون افشای مکان واقعی خود در اختیار داشته باشند. لاگ‌های VPN فعالیت‌های آنان را به چندین منطقه جغرافیایی مرتبط می‌کرد که نشان می‌دهد آدرس‌های IP کره شمالی در این فعالیت‌ها نقش داشتند.

بررسی‌های بیشتر نشان می‌دهد که این گروه در حال مطالعه راه‌هایی برای توزیع توکن‌ها در چندین بلاک‌چین، جست‌وجو برای شرکت‌های فعال در حوزه هوش مصنوعی در اروپا و شناسایی اهداف جدید در بازار رمزارزها بودند.

فعالان تهدید کره‌شمالی از فرصت‌های شغلی از راه دور بهره‌مند می‌شوند

زک ایکس بی‌تی (ZachXBT) گزارشی را منتشر کرد که نشان می‌دهد گروهی از هکرهای کره‌شمالی با استفاده از روش‌های مشابه، در چندین گزارش امنیت سایبری به عنوان کارمندان فریلنسر در حوزه رمزارز فعالیت می‌کنند. این افراد با ادعای انجام پروژه‌های توسعه‌دهنده مستقل، به منابع کد، سامانه‌های پشتیبانی و زیرساخت‌های کیف پول دیجیتال دسترسی پیدا می‌کنند.

در یکی از دستگاه‌های مورد بررسی، مستنداتی یافته شد که شامل یادداشت‌های مصاحبه و مواد آمادگی برای تماس‌های ویدیویی با کارفرمایان احتمالی است. این مدارک احتمالاً برای استفاده در حین مصاحبه‌ها یا قرارگیری در کنار دستگاه، طراحی شده بودند. این شیوه‌ها نشان‌دهنده تلاش‌های مداوم کره‌شمالی برای نفوذ و کسب اطلاعات در فضای رمزارز است.

منبع: کریپتو.نیوز

دیدگاه شما
پربازدیدترین‌ها
آخرین اخبار