هکرهای کره شمالی با استفاده از آگهیهای شغلی جعلی در حوزه IT و بدافزار، به سیستمهای ابری شرکتهای فعال در حوزه ارزهای دیجیتال نفوذ کرده و در سال جاری، میلیاردها دلار سرقت کردهاند.
گروه هکری UNC4899؛ شناسایی و نفوذ به شرکتها از طریق فریب کارکنان
گزارشهای جداگانهای از گوگل کلاد و شرکت امنیتی ویز (Wiz) نشان میدهد که گروههای هکری کره شمالی با تظاهر به کارهای فریلنسری آی تی (IT)، دسترسی به سیستمهای ابری پیدا کرده و ارزهای دیجیتالی به ارزش میلیونها دلار سرقت کردهاند.
در گزارش کلاد تریت هورایزن (Cloud Threat Horizons) که مربوط به نیمه دوم سال ۲۰۲۵ از سوی گوگل کلاد منتشر شده است، تیم اطلاعات تهدیدات علیه گوگل بهطور فعال در حال ردیابی گروه هکری کره شمالی با نام UNC4899 است؛ این گروه پس از تماس با کارکنان شرکتها از طریق شبکههای اجتماعی، موفق به هک دو شرکت شده است.
در هر دو مورد، UNC4899 وظایفی به کارکنان محول کرده که باعث اجرای بدافزار روی رایانههای آنها شده و در نتیجه، این گروه توانسته ارتباط بین مراکز فرماندهی خود و سیستمهای ابری شرکتهای هدف را برقرار کند.
جلب اعتماد قربانیان؛ استراتژی پیچیده هکرهای کره شمالی در حملات سایبری
در پی این اقدام، UNC4899 موفق شده به فضاهای ابری قربانیان دسترسی پیدا کرده، اطلاعات هویتی را استخراج و در نهایت سرورهای مرتبط با پردازش تراکنشهای ارزهای دیجیتال را شناسایی کند.
در هر مورد، شرکتهای هدف و سرویسهای ابری مورد استفاده (از جمله گوگل کلاد و AWS) متفاوت بودهاند، اما در هر دو، میلیونها دلار ارز دیجیتال به سرقت رفته است.
به گفته جیمی کالیر (Jamie Collier)، مشاور ارشد اطلاعات تهدیدات برای اروپا در تیم امنیت گوگل، استفاده از پیشنهادهای شغلی جعلی توسط هکرهای کره شمالی اکنون «کاملاً رایج و گسترده» است و این موضوع سطح بالایی از پیچیدگی را نشان میدهد.
او میگوید: «آنها اغلب در نقشهایی مانند کارفرما، خبرنگار، کارشناس حوزه خاص یا استاد دانشگاه ظاهر میشوند و چندین بار با هدف ارتباطگیری و جلب اعتماد با قربانیان مکاتبه میکنند.»
اقدام سریع
کالیر در ادامه توضیح میدهد که مهاجمان کره شمالی از جمله اولین گروههایی بودند که فناوریهای نوظهور مانند هوش مصنوعی را بهسرعت به کار گرفتند تا «ایمیلهای ارتباطگیری متقاعدکنندهتری» بنویسند و اسکریپتهای مخرب خود را تولید کنند.
شرکت امنیت ابری ویز نیز در گزارشی به اقدامات UNC4899 پرداخته و اشاره کرده که این گروه با نامهای (Jade)، (Sleet)، (TraderTraitor) و (Slow Pisces) نیز شناخته میشود.
به گفته شرکت ویز، (TraderTraitor) بیانگر نوعی فعالیت تهدیدآمیز است نه یک گروه خاص؛ و پشت بسیاری از این حملات گروههای وابسته به کره شمالی نظیر (BlueNoroff)، (APT38)، (Lazarus Group) و (Stardust Chollima) قرار دارند.
TraderTraitor؛ پنج سال عملیات سایبری سازمانیافته با تمرکز بر ارزهای دیجیتال
ویز در تحلیل خود از UNC4899 / TraderTraitor اشاره میکند که فعالیتهای این گروه از سال ۲۰۲۰ آغاز شده و از همان ابتدا از پیشنهادهای شغلی جعلی برای فریب کارکنان و ترغیب آنها به دانلود اپلیکیشنهای ارز دیجیتال آلوده استفاده کردهاند. این اپلیکیشنها با استفاده از جاوااسکریپت و (Node.js) و بر پایه چارچوب (Electron) ساخته شدهاند.
به گفته ویز، این کمپین از سال ۲۰۲۰ تا ۲۰۲۲ توانسته چندین سازمان را با موفقیت مورد نفوذ قرار دهد؛ از جمله حمله ۶۲۰ میلیون دلاری گروه لازاروس به شبکه رونین (Ronin) متعلق به بازی اکسی اینفینیتی (Axie Infinity).
فعالیت تهدیدآمیز (TraderTraitor) در سال ۲۰۲۳ به استفاده از کدهای متن باز مخرب گسترش یافت و در سال ۲۰۲۴ تمرکز خود را بر پیشنهادهای شغلی جعلی، بهویژه با هدف صرافیها، دو برابر کرد.
مهمترین حملات منتسب به گروههای (TraderTraitor) شامل هک ۳۰۵ میلیون دلاری صرافی دی ام ام بیت کوین (DMM Bitcoin) در ژاپن و همچنین هک ۱.۵ میلیارد دلاری صرافی بای بیت (Bybit) در اواخر سال ۲۰۲۴ است؛ که جزئیات آن در فوریه سال جاری منتشر شد.
هدفگیری فضای ابری
همانطور که گوگل اشاره کرده، این حملات در سطوح مختلف سیستمهای ابری را هدف قرار دادهاند و شرکت ویز نیز میگوید این سیستمها یک نقطه ضعف قابل توجه برای حوزه ارزهای دیجیتال بهشمار میروند.
بنجامین رید (Benjamin Read)، مدیر اطلاعات تهدیدات استراتژیک ویز، به رسانه دی کریپت (Decrypt) گفت: «ما معتقدیم گروه (TraderTraitor) روی حملات و تکنیکهای مرتبط با فضای ابری تمرکز کردهاند، چرا که دادهها و در نتیجه پولها در آنجا قرار دارند.»
او افزود: «این موضوع بهویژه برای صنعت رمزارز صادق است، جایی که شرکتها نسبتاً نوپا هستند و احتمالاً زیرساختهای خود را بهصورت اولویتدار ابری ساختهاند.»
رید توضیح داد که هدف قرار دادن فناوریهای ابری به گروههای هکری امکان میدهد طیف گستردهتری از اهداف را تحت تاثیر قرار دهند و در نتیجه پتانسیل کسب درآمد بیشتری داشته باشند.
او گفت این گروهها کسبوکار بزرگی دارند و برآورد میشود که تاکنون در سال ۲۰۲۵ حدود ۱.۶ میلیارد دلار ارز دیجیتال سرقت شده باشد. رید افزود که گروه (TraderTraitor) و گروههای مرتبط، احتمالاً هزاران نفر نیرو دارند که در تیمهای متعدد و گاهی همپوشان کار میکنند.
رید تاکید کرد:
در حالی که تعیین عدد دقیق دشوار است، واضح است که رژیم کره شمالی منابع قابل توجهی را در این حوزه سرمایهگذاری کرده است.
کره شمالی؛ پیشرو در هکهای رمزارزی با سهم ۳۵ درصدی از سرقتهای جهانی
این سرمایهگذاری باعث شده کره شمالی به یکی از پیشروهای هک ارزهای دیجیتال تبدیل شود؛ گزارشی از تی آ ام لبز (TRM Labs) در فوریه نشان میدهد که این کشور ۳۵ درصد از کل وجوه سرقتشده سال گذشته را به خود اختصاص داده است.
کارشناسان میگویند همه نشانهها حاکی از آن است که کره شمالی برای مدتی طولانی همچنان در حملات سایبری مرتبط با رمزارز فعال باقی خواهد ماند، بهویژه با توجه به توانایی عوامل آن در توسعه تکنیکهای جدید.
جیمی کالیر از گوگل گفت:
عوامل تهدید کره شمالی نیرویی پویا و چابک هستند که بهطور مداوم خود را با اهداف استراتژیک و مالی رژیم تطبیق میدهند.
او دوباره تاکید کرد که هکرهای کره شمالی روزبهروز بیشتر از هوش مصنوعی استفاده میکنند، موضوعی که به آنها «ضریب نیرو» میدهد و باعث شده حملاتشان در مقیاس بزرگتری انجام شود.
کالیر گفت: «هیچ نشانهای از کاهش سرعت آنها مشاهده نمیکنیم و انتظار داریم این گسترش ادامه یابد.»
