سرقت سایبری ارز دیجیتال کره شمالی
شرکت امنیت مجازی آمریکا (Recorded Future) گزارش جدیدی از یک گروه هکر منتسب به کره شمالی به نام Lazarus منتشر کرد که طی آن به تعدادی از صرافیهای ارز دیجیتال کره جنوبی حمله کرد و حصار امنیتی آنها را شکست.
جهت اطلاع از آخرین اطلاعات دنیای ارز دیجیتال با کانال ما همراه باشید
طی گزارشی با عنوان ” کره شمالی کاربران و صرافیهای ارز دیجیتال کره جنوبی را در اواخر کمپین 2017 مورد حمله قرار داد.”محققان شرکت بیان داشتند که از یک بدافزار در حمله به Sony Pictures و از باجافزار WannaCry در حمله به Coinlink (که یک صرافی ارز دیجیتال از کره جنوبی است)استفاده شد.
گزارش حاکی از آن است که : “قبل از سخنرانی سال جدید کیم جونگ اون و گفتوگوهای کره جنوبی و شمالی، عاملان دولت کره شمالی به ویژه گروه لازاروس به حمله خود به صرافیها و کاربران کره جنوبی در اواخر 2017 میلادی ادامه دادند. کد بدافزار مزبور با بدافزار Destover ترکیب شد و در سال 2014 علیه شرکت بزرگ Sony Pictures Entertainment استفاده شد که در فوریه 2017 اولین قربانی WannaCry بود.”
سرقت 7 میلیونی از Bithump
در فوریه سال 2017، Bithump که دومین صرافی بزرگ بازار جهانی به لحاظ حجم تراکنش روزانه با نقصی که در امنیت خود توسط هکرها بوجود آمد تبدیل به یکی از قربانیان شد که طی آن بالغ بر 7 میلیون دلار از صندوق آن ربوده شد که غالبا بیتکوین و اتریم بودند.
گزارش Recorded future ذکر کرد که سرقت 7 میلیون دلار کار هکرهای کره شمالی بوده است. محققان گروه Insikt که به طور ویژه و مرتب روی فعالیتهای هکرهای کره شمالی تمرکز کردهاند اعلام کردند که گروه هکر لازاروس از دستهای ابزارها از Spear Phishing گرفته تا گسترش بدافزار از طریق سیستم عاملهای ارتباطی جهت دسترسی به کیف پولها و اکانتهای مرتبط با ارز دیجیتال استفاده کردند.
محققان گروه Insikt اعلام کردند که هکرهای گروه لازاروس حجم بزرگی از بدافزارها را در سقوط قیمت سال 2017 و پس از آن پایهگذاری کردند هکرهای کره شمالی بر پخش این بدافزارها تمرکز کردند که طی آن یک فایل ضمیمه حاوی نرمافزار فریبدهنده اطلاعات شخصی افراد را بدست میآورد.
استراتژی هک
یکی از متودهایی که گروه لازاروس به کار برد استفاده از فایلهای نرمافزار Hangul Word Processor (HWP) از طریق ایمیل بود که مشابه اسناد نرمافزار کره جنوبی Microsoft Word بود و یک فایل ضمیمه بدافزار داشت. اگر هر کاربر ارز دیجیتال این بدافزار را دانلود کند به صورت خودکار نصب شده و در پیش زمینه سیستم اجرا میشود و کنترل یا دستکاری اطلاعات ذخیره شده در وسیله مورد نظر را به دست میگیرد.
محققان گروه Insikt نوشتند: “تا سال 2017 کشید تا هکرهای کره شمالی وارد عرصه ارز دیجیتال شوند. اولین عملیات هک ارز دیجیتال از سمت کره شمالی در فوریه 2017 با سرقت 7 میلیون دلاری از صرافی کره جنوبی Bithump اتفاق افتاد. تا انتهای 2017 محققان بسیاری از وقوع چندین حمله Spear Phishing به صرافیهای ارز دیجیتال کره جنوبی گزارش دادند که تعداد بسیاری از آنها حملات موفقیتآمیز بود که سرقت بیتکوین و مونرو از جمله آنها بود.”
انگیزه هکرهای کره شمالی
پیش از انتشار گزارش Recorded Future، چندین شرکت امنیت مجازی از حملات گروههای هکر کره شمالی به صرافیهای ارز دیجیتال کره جنوبی به وسیله بدافزارهای پیچیده و ابزارهای حمله Phishing خبر داده بودند.
هکرهای FireEye شش حمله سایبری را به مراکز معاملات ارز دیجیتال کره جنوبی توسط هکرهای کره شمالی ارتباط دادند. اخیرا سایت خبری کوین تلگراف خبر داد که بازرسان پلیس به همراه آژانس اینترنت و امنیت کره جنوبی یک سری تحقیقات کامل در رابطه با حملهای که به ورشکستگی صرافی youBit منجر شد انجام دادند.
بازرسان محلی شواهدی مبنی بر رسوخ هکرهای کره شمالی به YouBit یافتند. تحلیلگر ارشد FireEye آقای Luke McNamara به BloomBerg گفت که ابزار حملاتی مشابهی توسط هکرهای کره شمالی در حمله به YouBit استفاده شد.
“دشمنی که ما شاهد آن هستم به طور فزایندهای مستعد میباشد و جسورانه پیگیر اهداف خود است. این فقط یک نشانه کوچک از استراتژی بزرگی است که آنها از سال 2016 به کار بردهاند، جایی که آنها از ظرفیت خود در جاسوسی برای سرقت صندوقهای سرمایهگذاری بهره بردهاند.”