بررسی: چگونه افشای یک دستگاه موجب کشف شبکه هکرهای رمزارز شد

مروری بر ماجرا: کشف شبکه هک رمزارز از طریق یک دستگاه افشا شده

آشکار شدن دستگاه یکی از کارکنان حوزه فناوری اطلاعات در کره شمالی، پرده از عملیات منظمی برداشت که پروژه‌های رمزارزی را هدف قرار داده بود. این فعالیت‌ها در نهایت به اکسپلویت بازار فن توکن Favrr در ژوئن ۲۰۲۵ ختم شد. زک‌اکس‌بی‌تی، محقق زنجیره‌ای، رد فعالیت‌های کیف پول‌ها و اثرات دیجیتالی برجای‌مانده از اسکرین‌شات‌ها، صادرات گوگل درایو و پروفایل‌های کروم موجود روی رایانه هک شده را دنبال کرد. یکی از آدرس‌های کیف پول، یعنی 0x78e1a، مستقیماً با وجوه سرقتی مرتبط با حادثه Favrr ارتباط داشت.

درون عملیات: هویت‌های جعلی، شغل‌های دورکاری و ابزارهای گوگل

تحقیقات نشان داد یک تیم جمع‌وجور متشکل از شش نفر با دست‌کم ۳۱ هویت ساختگی فعالیت می‌کردند. آن‌ها برای دستیابی به موقعیت‌های معتبر در توسعه بلاک‌چین، مدارک هویتی دولتی و شماره تلفن‌ها را جمع‌آوری کرده و حساب‌های لینکدین و آپ‌ورک خریداری می‌کردند تا داستان‌سازی‌شان را تقویت کنند. اسکریپت‌های مصاحبه ذخیره‌شده روی دستگاه حتی سابقه کار در پروژه‌های بزرگ و مشهوری چون Polygon Labs، OpenSea و Chainlink را نیز ادعا می‌کردند.

جریان کاری مبتنی بر سرویس‌های گوگل و دسترسی از راه دور

ابزارهای گوگل هسته اصلی گردش کار این تیم بود. بودجه و برنامه‌ زمان‌بندی با اسپریدشیت‌های گوگل درایو کنترل می‌شد، پروفایل‌های کروم مدیریت دسترسی به حساب‌ها را برعهده داشتند و Google Translate به رفع موانع زبانی میان کره‌ای و انگلیسی کمک می‌کرد. همچنین صفحات گسترده‌ای روی این دستگاه یافته شد که اجاره رایانه‌ها و پرداخت‌های سرویس‌های VPN برای ایجاد اکانت‌های جدید را ثبت کرده بود.

ابزارهایی برای پنهان‌سازی موقعیت و کنترل اهداف

اعضا برای کنترل سیستم‌های مشتریان بدون افشای مکان واقعی‌شان، از نرم‌افزارهای دسترسی از راه دور نظیر AnyDesk استفاده می‌کردند. لاگ‌های VPN نشان می‌داد که ترافیک‌شان را از مناطق مختلف عبور می‌دادند تا آدرس‌های آی‌پی کره شمالی پنهان شود. این روش‌ها دسترسی به مخزن‌های کد، سامانه‌های بک‌اند و زیربنای کیف پول‌ها را فراهم می‌آورد بی‌آنکه منشأ کار به راحتی آشکار شود.

الگوی عملکرد: مشاغل دورکار به عنوان نقطه ورود

پژوهشگران امنیتی بارها هشدار داده‌اند که نیروهای IT کره شمالی با گرفتن مشاغل از راه دور و قانونی، راه نفوذ به اکوسیستم رمزارز را فراهم می‌کنند. آن‌ها با ایجاد هویت مستقل به عنوان توسعه‌دهنده آزاد، به محیط‌های حساس توسعه‌ای دسترسی پیدا می‌کنند. اسناد یافت‌شده روی دستگاه شامل یادداشت‌های مصاحبه و مطالب آماده‌سازی بود که احتمالاً برای نمایش هنگام گفتگوی ویدیویی با کارفرما نوشته شده و عمق استراتژی مهندسی اجتماعی آن‌ها را نمایش می‌داد.

پیامدهای گسترده برای امنیت بلاک‌چین

فراتر از هک Favrr، شواهد به‌دست آمده نشان داد که این تیم روی استقرار توکن در زنجیره‌های مختلف تحقیق می‌کرد، شرکت‌های هوش مصنوعی اروپایی را رصد می‌نمود و اهداف جدید رمزارزی را شناسایی می‌کرد. برای صرافی‌ها، بازارهای توکن و پروژه‌های بلاک‌چینی، این پرونده بر لزوم غربالگری دقیق افراد دورکار، لایه‌های متعدد کنترل دسترسی، پایش دقیق مخزن‌های کد و اقدامات امنیتی سختگیرانه برای کیف پول‌ها جهت مقابله با نفوذ داخلی تأکید می‌کند.

جمع‌بندی

حادثه Favrr و افشای این دستگاه، چهره یک تهدید هماهنگ و مجهز را نشان می‌دهد که از مهندسی اجتماعی، هویت‌های خریداری‌شده و ابزارهای ابری رایج برای نفوذ به شرکت‌های رمزارزی بهره می‌برند. جداسازی دسترسی‌ها، احراز هویت قوی و رصد مداوم انتقالات غیرعادی کیف پول، سه سد دفاعی بنیادی در برابر حملات مشابه آینده هستند.

مطلب مرتبط

Read More

افزایش حملات هکرهای دولتی کره شمالی به صنعت ارز دیجیتال

گروه‌های هکری تحت حمایت دولت کره شمالی با سرعت فزاینده‌ای در حال توسعه روش‌های جدید برای...