ads2

پژوهشگر امنیت سایبری، تیلور مونهان، ادعا کرده است که کارمندان فناوری اطلاعات مرتبط با کره شمالی سال‌هاست در اکوسیستم مالی غیرمتمرکز فعالیت می‌کنند. به گفته مونهان، این افراد در دوران موسوم به «تابستان دیفای» در سال ۲۰۲۰، در توسعه بسیاری از پروتکل‌های شناخته‌شده نقش داشته‌اند.

بر اساس آخرین توییت او، سال‌ها تجربه توسعه بلاکچین که در رزومه این افراد ذکر شده، اغلب واقعی بوده و نشان‌دهنده مشارکت فنی حقیقی آن‌هاست، نه مدارک جعلی.

سال‌ها نفوذ به دیفای

در پاسخ به درخواست ارائه مثال، او به چند پروژه برجسته مانند سوشی‌سوآپ، تورچین، یرن، هارمونی، انکر و شیبا اینو، در کنار پروژه‌های دیگر اشاره کرد. مونهان همچنین فاش کرد که برخی تیم‌ها مانند یرن، به دلیل رویکرد سخت‌گیرانه در امنیت، اتکای زیاد به بازبینی همتایان و حفظ سطح بالایی از تردید نسبت به مشارکت‌کنندگان، متمایز بوده‌اند.

او اشاره کرد که این رویکرد، میزان آسیب‌پذیری را نسبت به سایر پروژه‌ها محدود کرده است. همچنین مونهان هشدار داد که تاکتیک‌های این گروه‌ها تکامل یافته و اکنون ممکن است از افراد غیرکره‌ای برای انجام بخش‌هایی از عملیات خود، از جمله تعاملات حضوری، استفاده کنند. به برآورد این کارشناس امنیت، این گروه‌ها در مجموع دست‌کم ۶.۷ میلیارد دلار از فضای رمز ارز در این مدت خارج کرده‌اند.

کره شمالی همچنان در جرایم سایبری مرتبط با رمز ارز پیشتاز است و به بزرگ‌ترین تهدید دولتی در این حوزه تبدیل شده است. طبق گزارش پیشین چین‌آنالایسیس، هکرهای کره شمالی تنها در سال ۲۰۲۵ دست‌کم ۲.۰۲ میلیارد دلار دارایی دیجیتال سرقت کرده‌اند که نسبت به سال ۲۰۲۴، ۵۱ درصد افزایش داشته و ۷۶ درصد کل نفوذهای مرتبط با خدمات را شامل می‌شود.

اگرچه تعداد حملات کمتر بوده، اما مقیاس آن‌ها بسیار بزرگ‌تر بوده است. چین‌آنالایسیس این موضوع را به استفاده گروه‌های دولتی از کارمندان نفوذی فناوری اطلاعات نسبت داده که پیش از وقوع حملات بزرگ، به شرکت‌های رمز ارز، از جمله صرافی‌ها و متولیان دارایی، دسترسی پیدا می‌کنند.

site banner

پس از سرقت دارایی‌ها، این افراد معمولاً دارایی‌ها را در تراکنش‌های کوچک منتقل می‌کنند، به‌طوری که بیش از ۶۰ درصد انتقال‌ها کمتر از ۵۰۰ هزار دلار است. روش‌های پولشویی آن‌ها عمدتاً بر ابزارهای بین‌زنجیره‌ای، سرویس‌های میکسینگ و شبکه‌های مالی چینی‌زبان متکی است.

ائتلاف امنیت (SEAL) پیش‌تر اعلام کرده بود که این گروه‌ها با استفاده از تماس‌های جعلی زوم یا مایکروسافت تیمز، قربانیان را به بدافزار آلوده می‌کنند. این عملیات اغلب از طریق حساب‌های تلگرام هک‌شده آغاز می‌شود؛ جایی که مهاجمان خود را به‌جای مخاطبان آشنا جا زده و هدف را به یک تماس تصویری دعوت می‌کنند.

در طول جلسه، ویدیوهای از پیش ضبط‌شده برای جلب اعتماد قربانی پخش می‌شود و سپس از او خواسته می‌شود به‌روزرسانی‌ای را نصب کند که در واقع دسترسی مهاجم به دستگاه را فراهم می‌کند. پس از نفوذ، این افراد داده‌های حساس را سرقت کرده و از حساب‌های هک‌شده برای گسترش حمله استفاده می‌کنند.

گسترش سطح حمله

هکرهای مرتبط با کره شمالی همچنین مظنون به دست داشتن در نفوذ به بیت‌رفیل در اول مارس هستند. گزارش‌ها حاکی از آن است که مهاجمان از طریق دستگاه یکی از کارمندان که به خطر افتاده بود، وارد سیستم شده و اطلاعات دسترسی لازم برای نفوذ بیشتر به سامانه‌های داخلی را به دست آورده‌اند.

آن‌ها سپس به بخش‌هایی از پایگاه داده دسترسی یافته و دارایی‌ها را از کیف پول‌های گرم خارج کردند و همچنین جریان کارت‌های هدیه را مورد سوءاستفاده قرار دادند. نشانه‌هایی مانند الگوهای بدافزاری، رفتارهای زنجیره‌ای و زیرساخت‌های تکراری با عملیات پیشین گروه‌های لازاروس و بلونوروف مطابقت داشت.

منبع: لینک خبر

ads1