هکرهای کره شمالی از شرکت‌های پوششی آمریکایی برای حمله به توسعه‌دهندگان رمزارزها استفاده می‌کنند

هکرهای کره شمالی با ثبت شرکت‌هایی در ایالات متحده، مشتریان را به وب‌سایت‌های خود کشانده و رایانه‌های آن‌ها را با بدافزارهای سرقت رمزارز آلوده کرده‌اند. این شرکت‌های جعلی تحت اسامی مختلف به ثبت رسیده و حتی املاک اجاره‌ای نیز به نام آن‌ها ثبت شده بود. تاکنون سه شرکت شناسایی شده‌اند که شامل «Blocknovas»، «Softglide» و «Angeloper Agency» می‌شود.

حمله‌ای پیشرفته با استفاده از مهندسی اجتماعی

این حمله پیچیده، عناصر مهندسی اجتماعی را در خود جای داده است تا قربانیان بالقوه را به انتشار بدافزارهای سرقت رمزارز ترغیب کند. در این میان، «Angeloper Agency» تنها شرکتی بود که به‌صورت قانونی ثبت نشده بود، در حالی که «Blocknovas» و «Softglide» به عنوان شرکت‌های رسمی به ثبت رسیده بودند. اف‌بی‌آی وب‌سایت «Blocknovas» را توقیف کرد و اعلام کرد که این سایت توسط هکرهای کره شمالی ساخته شده و با استفاده از آگهی‌های شغلی جعلی به انتشار بدافزار می‌پرداخت.

شرکت‌های پوششی «Blocknovas»، «Angeloper» و «Softglide» از طریق مصاحبه‌های شغلی جعلی، بدافزار را منتشر می‌کردند. شبکه گسترده‌ای از آگهی‌های استخدامی برای جذب افراد و هدایت آن‌ها به سایت‌های آلوده استفاده می‌شد. ثبت قانونی «Blocknovas» و «Softglide» به این شرکت‌های جعلی امکان می‌داد که به راحتی در وب‌سایت‌های کاریابی شخص ثالث، آگهی استخدام منتشر کنند. این آگهی‌ها به‌طور خاص توسعه‌دهندگان رمزارز را هدف قرار داده بودند. در فرآیند ثبت‌نام، خطای فنی ساختگی ظاهر می‌شد که کاربر را مجبور به اعمال یک اصلاح دستی می‌کرد و این فرصت را برای نصب بدافزار فراهم می‌ساخت.

استفاده از سه نوع بدافزار تخصصی

سه نوع بدافزار در این حمله استفاده شده بود: «BeaverTail»، «Invisible Ferret» و «Otter Cookie». بدافزار «BeaverTail» برای سرقت اطلاعات و ایجاد زمینه برای حملات بعدی مورد استفاده قرار می‌گرفت. «Invisible Ferret» و «Otter Cookie» نیز برای سرقت کلیدهای رمزارزی و کپی داده‌های کلیپ‌بورد کاربران طراحی شده بودند. وب‌سایت «Blocknovas» نقش اصلی را در این حمله ایفا می‌کرد و اکثر متقاضیان کار از طریق این سایت فریب داده شدند. به همین دلیل، اف‌بی‌آی وب‌سایت Blocknovas را توقیف کرده و به بازدیدکنندگان درباره فعالیت‌های این سایت هشدار داده است.

هدف نهایی: تأمین مالی برنامه‌های هسته‌ای کره شمالی

مقامات آمریکایی اعلام کردند که این حمله بخشی از یک الگوی گسترده‌تر است که طی آن هکرهای کره شمالی اقدام به سرقت منابع مالی می‌کنند تا ارز سخت (Hard Currency) جمع‌آوری کنند. رمزارزها به دلیل قابلیت بالای ناشناس‌سازی، هدف اصلی این حملات هستند. هکرها این منابع مالی را برای تأمین هزینه‌های توسعه برنامه‌های هسته‌ای پرهزینه کره شمالی نیاز دارند. این استراتژی بسیار موفق بوده و حملات گسترده‌ای به طور منظم صورت گرفته است.

گزارش‌ها حاکی از آن است که کره شمالی هزاران نیروی فناوری اطلاعات را به مأموریت جمع‌آوری منابع مالی برای تحقیق و توسعه تسلیحات هسته‌ای اعزام کرده است. دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا (OFAC) کره شمالی را به دلیل توسعه تسلیحات هسته‌ای تحریم کرده است. هر شرکت آمریکایی که با کره شمالی همکاری کند، تحریم‌های OFAC را نقض کرده است.

در این میان، سرمایه‌گذاران رمزارز با نگرانی امنیتی دیگری روبه‌رو شده‌اند. رمزارزها ابزاری مؤثر برای انتقال وجوه فرامرزی هستند، اما متأسفانه همان قابلیت‌هایی که امنیت مالی کاربران را تضمین می‌کند، می‌تواند به همان میزان به سود هکرها تمام شود. با افزایش موارد نقض امنیتی، نیاز به حضور گسترده‌تر کارشناسان امنیت در حوزه رمزارز بیش از پیش احساس می‌شود.