بر اساس تحقیقات پژوهشگران امنیت سایبری و اسنادی که رویترز آنها را مشاهده کرده است، جاسوسان سایبری کرهشمالی با نقض تحریمهای وزارت خزانهداری آمریکا، دو شرکت در ایالات متحده تاسیس کردهاند تا توسعهدهندگان فعال در صنعت رمزارز را با بدافزار آلوده کنند.
این دو شرکت با نامهای بلاکنواس و سافتگلاید با استفاده از هویتها و آدرسهای جعلی در ایالتهای نیومکزیکو و نیویورک ثبت شدهاند.
بر اساس این گزارش، یک شرکت سوم هم به نام آژانس آنجلوپر هم به این کارزار مرتبط است، اما به نظر نمیرسد در ایالات متحده ثبت شده باشد.
کِیسی بِست، مدیر اطلاعات تهدید در شرکت امنیت سایبری سایلنت پوش به رویترز گفت: «این یکی از معدود نمونههایی است که هکرهای کره شمالی موفق شدهاند شرکتهای حقوقی در آمریکا تاسیس کنند تا از طریق آنها به عنوان پوشش، متقاضیان شغل را هدف قرار دهند.»
بست همچنین افزود: «این حملات با استفاده از شخصیتهای جعلی که پیشنهاد مصاحبه شغلی میدهند، صورت میگیرند. سپس بدافزارهای پیچیدهای را بر روی سیستم قربانیان نصب میکنند تا کیفپولهای رمزارز آنها را هک کرده و رمزها و اطلاعات ورودشان را برای حملات بعدی به شرکتهای قانونی سرقت کنند.»
بر اساس اعلام شرکت سایلنت پوش، این هکرها عضو یک زیرگروه از گروه لازاروس هستند، تیمی نخبه از هکرهای کره شمالی که زیر نظر سازمان اصلی اطلاعات خارجی پیونگیانگ فعالیت میکند.
افبیآی، دامنه اینترنتی یکی از این شرکتها به نام بلاکنواس، به عنوان بخشی از «اقدامات قانونی علیه عوامل سایبری کره شمالی» توقیف شده، زیرا بر اساس اطلاعیه افبی آی، این دامنه برای انتشار آگهیهای جعلی شغلی و توزیع بدافزار مورد استفاده قرار گرفته است.
پیش از این توقیف، مقامات افبیآی به رویترز گفتند که این نهاد همچنان «بر اعمال ریسک و پیامدها نهفقط بر عوامل کره شمالی، بلکه بر هرکسی که تسهیلکننده این عملیاتها باشد تمرکز دارد.»
محققان سایلنت پوش تائید کردهاند که بهویژه از طریق بلاکنواس که فعالترین شرکت جعلی از میان سه مورد شناختهشده بوده است، چندین نفر قربانی این کارزار سایبری شدهاند.
تحریمها
رویترز اسناد ثبت شرکتهای بلاکنواس در نیومکزیکو و سافتگلاید در نیویورک را بررسی کرده است و دریافته که افراد ذکر شده در این اسناد، قابل شناسایی نبودند.
آدرس ثبتشده برای بلاکنواس در وارنویل، جایی در کارولینای جنوبی است، که در نقشه گوگل بهنظر میرسد قطعه زمینی خالی باشد. ظاهرا یک دفتر مالیاتی کوچک در بوفالو در ایالت نیویورک ثبت شده است.
این اقدامات نشاندهنده تکامل تلاشهای گسترده کره شمالی برای هدف قرار دادن صنعت رمزارز بهمنظور کسب درآمد برای دولت پیونگیانگ است.
ایالات متحده، کره جنوبی و سازمان ملل میگویند کره شمالی علاوه بر سرقت ارز خارجی از طریق حملات سایبری، هزاران نیروی متخصص فناوری اطلاعات را به خارج از کشور اعزام کرده تا میلیونها دلار برای برنامه موشکی هستهای پیونگیانگ تامین مالی کنند.
وجود شرکتی تحت کنترل کره شمالی، وابسته به دولت این کشور و ثبتشده در خاک آمریکا، نقض تحریمهای دفتر کنترل داراییهای خارجی وزارت خزانهداری آمریکا بهشمار میرود.
این اقدام همچنین ناقض تحریمهای سازمان ملل است که هرگونه فعالیت تجاری با هدف حمایت از دولت یا ارتش کره شمالی را ممنوع کرده است.
یکی از مقامات مسئول در ایالت نیویورک به رویترز گفت درباره شرکتهای ثبتشده در این ایالت اظهار نظر نمیکند. یک مقام ایالت نیومکزیکو هم در ایمیلی اعلام کرد ثبتنام این شرکت مطابق با قانون ایالتی و از طریق یک نماینده قانونی انجام شده است و دفتر ما هیچ راهی برای اطلاع از ارتباط این شرکت با کره شمالی نداشت.»
هکرها تلاش کردند تا متقاضیان شغلی جعلی را با دستکم سه نوع بدافزار شناختهشده که قبلا به عملیاتهای سایبری کره شمالی نسبت داده شده، آلوده کنند.
بدافزارهایی که شرکن سایلنت پوش شناسایی کرده میتوانند اطلاعات سرقت کنند، دسترسی به شبکهها را فراهم کرده و اشکال دیگر بدافزار را بارگذاری کنند.
