هفته گذشته، گزارش شد که یک گروه هکر کره شمالی به شرکت نرمافزار سازمانی مستقر در ایالات متحده، JumpCloud، نفوذ کرده و سپس از آن به عنوان سکوی پرش برای نفوذ بیشتر به تعدادی از شرکتهای ناشناس ارزهای دیجیتال با انگیزه سرقت پول استفاده کرده است. محققان امنیتی اکنون دلایلی را فهرست کردهاند که چرا آنها مطمئن هستند که هکرهای کره شمالی پشت این نفوذ بودهاند.
محققان گفتند که هکرها هنگام ورود غیرقانونی به سیستمها اشتباه کردند. طبق گفته Mandiant، یک شرکت امنیت سایبری و زیرمجموعه گوگل که به یکی از مشتریان آسیب دیده JumpCloud کمک میکند، ادعا کرده است که هکرها برای اداره عمومی شناسایی کرهشمالی یا RGB کار میکردند.
گفته میشود که RGB شرکتهای ارزهای دیجیتال را هدف قرار میدهد و رمزهای عبور را میدزدد تا برای برنامههای تسلیحات هستهای سرمایهگذاری کند.
در وبلاگی میگوید: «ماندیانت این نفوذها را به UNC4899، یک بازیگر ارتباطی جمهوری دموکراتیک خلق کره (DPRK) با سابقه هدف قرار دادن شرکتها در حوزه ارزهای دیجیتال نسبت داد.
هکرها چه اشتباهی مرتکب شدند؟
Mandiant اشاره کرد که هکرها از VPN برای مخفی کردن مکان و آدرس IP خود استفاده کردند تا دستگیر نشوند. با این حال، واحد هک کره شمالی به اشتباه آدرس IP آنها را فاش کرد. در واقع باید گفت در «بسیاری موارد» VPN ها کار نمیکنند یا هکرها هنگام دسترسی به شبکه قربانی از آنها استفاده نمیکنند.
این لغزش عملیاتی دسترسی آنها را فاش کرد و شرکت امنیت سایبری مشاهده کرد که عامل تهدید مستقیماً به یک IP پیونگ یانگ وارد میشود.
علاوه بر این، Mandiant توانست زیرساختهای اضافی را کشف کند، زیرا سابقه PTR هرگز نسبت به عملیات قبلی تغییر نکرده است. Mandiant قبلاً سایت دامنه wasxxv[.] را شناسایی کرده است که توسط عوامل تهدید کره شمالی استفاده میشود.
پیش از این، شرکت امنیت سایبری CrowdStrike Holdings و محقق امنیت سایبری تام هگل نیز گفته بودند که نفوذ JumpCloud توسط هکرهای کره شمالی انجام شده است که در هک نرم افزار ماهر شدهاند.
