کشف زنجیره ای: پیوند کارکنان کره شمالی با حملات رمزارزی

کشف زنجیره ای: پیوند کارکنان کره شمالی با حملات رمزارزی

0 نظرات

10 دقیقه

کشف زنجیره‌ای: پیوند کارکنان راه دور کره شمالی به حملات متعدد رمزارزی

یک تحلیلگر شناخته‌شده حوزه on-chain با نام ZachXBT ادعا کرده است که پیمان‌کاران فناوری اطلاعات وابسته به کره‌شمالی (DPRK) به بیش از 25 مورد حادثه سایبری مرتبط با صنعت رمزارزها ارتباط دارند. این ادعاها در واکنش به مطلبی از امجد مسعد، مدیرعامل پلتفرم کدنویسی هوش مصنوعی Replit، مطرح شد؛ مسعد به افزایش چشمگیر متقاضیان راه دور از کره‌شمالی اشاره کرده بود که در فرایندهای استخدام از ابزارهای مبتنی بر هوش مصنوعی بهره می‌برند.

چه چیزی بحث را شعله‌ور کرد

مسعد ویدئویی کوتاه در X (توئیتر سابق) منتشر کرد که نشان می‌داد متقاضیان مشاغل از راه دور — که اغلب خود را به صورت حرفه‌ای در حوزه آی‌تی معرفی می‌کنند — از فیلترهای مبتنی بر هوش مصنوعی و ابزارهای کمک مصاحبه برای عبور از غربالگری اولیه در شرکت‌های فناورانه آمریکایی استفاده می‌کنند. او این روند را عمدتاً از منظر اقتصادی تحلیل کرد: پیمان‌کارانی که سعی دارند درآمدی برای کره‌شمالی تأمین کنند، نه لزوماً نفوذ بدخواهانه در شرکت‌های غربی.

ZachXBT با این تفسیر مخالفت کرد. او ضمن اذعان به انگیزه مالی متقاضیان، گفت که استخدام نیروی آی‌تی از کره‌شمالی بارها به‌عنوان یک مسیر دسترسی (access vector) برای حملات سایبری، باج‌گیری و طرح‌های اخاذی علیه شرکت‌های رمزارزی استفاده شده است.

مسعد نوشته بود «نه برای نفوذ»، اما ZachXBT این دیدگاه را اشتباه خواند. بر اساس تحقیقات او، دست‌کم 25 مورد مستند وجود دارد که در آن‌ها کارکنان راه دور مرتبط با کره‌شمالی در هک‌ها، استقرار باج‌افزار یا تلاش‌های اخاذی علیه پروژه‌ها و شرکت‌های بلاکچینی دخیل بوده‌اند.

شواهد و الگوهای آن‌چین: یافته‌های ZachXBT

ZachXBT به رشته‌توییت‌ها و تحقیقات قبلی اشاره کرده که نشان می‌دهد مهاجمان ابتدا با به‌دست‌آوردن شغل یا وضعیت پیمان‌کاری وارد سازمان می‌شدند و سپس از دسترسی داخلی برای خروج سرمایه، نصب باج‌افزار یا انجام تراکنش‌های جعلی بهره می‌بردند. او می‌گوید بسیاری از این رخدادها الگوی پایداری را نشان می‌دهند که شامل ترکیبی از روش‌های فنی و عملیات سازمان‌یافته است.

الگوهایی که از بررسی آن‌چین و شواهد فراداده‌ای به‌دست آمده، عبارت‌اند از:

  • جذب از راه دور و فرایندهای آغازین پیمان‌کاری که برای به‌دست‌آوردن مجوزها و مدارک دسترسی مورد استفاده قرار گرفته‌اند.
  • حرکت عرضی (lateral movement) در شبکه‌های شرکت برای رسیدن به کیف‌پول‌ها، سیستم‌های مدیریت کلید یا نقاط خرج خزانه.
  • انتقال وجوه ربوده‌شده از طریق ریل‌های رایج پولشویی رمزنگاری‌شده، به‌ویژه استفاده از استیبل‌کوین‌هایی مانند USDC برای انتقال سریع و تا حدی پیچیده‌سازی ردپای تراکنش‌ها.

ZachXBT تأکید می‌کند که این ردپاهای آن‌چین در کنار تاریخچه‌ی جذب و شاخص‌های جرم‌شناسی دیجیتال، نشان‌دهندهٔ یک مدل عملیاتی سازمان‌یافته است و نه صرفاً تقلب فرصت‌طلبانه پراکنده. ترکیب شواهد آن‌چین با مدارک استخدامی و تعاملات پیام‌رسانی داخلی، به محققان این امکان را می‌دهد که خوشه‌سازی‌های تراکنشی و الگوهای تکرارشونده را دنبال کنند و ارتباط بین حملات مختلف را نشان دهند.

USDC و استیبل‌کوین‌ها در تأمین مالی DPRK

این نخستین بار نیست که تحلیل‌گران به استفاده کره‌شمالی از استیبل‌کوین‌ها اشاره می‌کنند. گزارش‌ها و تحلیل‌های آن‌چین پیشین نشان داده‌اند که بازیگران تهدید مرتبط با کره‌شمالی میلیون‌ها دلار را از طریق USDC و توکن‌های مشابه مسیریابی کرده‌اند. دلیل جذابیت استیبل‌کوین‌ها برای این گروه‌ها ترکیب سرعت تراکنش، قابلیت انتقال مرزی و امکان ترکیب کردن با پل‌ها و خدمات مخفی‌کننده است.

این فعالیت‌ها انتقادات جدی از صادرکنندگان استیبل‌کوین‌ها، به‌ویژه Circle (صادرکننده USDC)، برانگیخت و ناظران خواستار نظارت تراکنشی فعال‌تر و واکنش‌های انطباقی سریع‌تر شدند. ZachXBT نیز برخی از نگهدارندگان و نهادهای امانتی را به کندی در مسدودسازی جریان‌های غیرقانونی یا کنترل‌های ناکافی متهم کرده است. او استدلال می‌کند که شفافیت ذاتی بلاکچین باید تشخیص این الگوها را ساده‌تر کند، اما در عمل پاسخ‌گذاری‌های اجرایی و کنترل‌های انطباقی در صنعت ناهمگون و بعضاً ناکافی است.

تاکتیک‌های جذب و مسیرهای تهدید داخلی

چانگ‌پنگ ژائو (CZ)، مدیرعامل پیشین بایننس، نیز نسبت به خطر بلندِ جذب‌های مخرب و متقاضیان جعلی هشدار داده است. به گفتهٔ CZ و گزارش‌هایی که آن را تأیید می‌کنند، بازیگران مرتبط با DPRK اغلب برای مشاغل مهندسی، امنیت، مالی و DevOps درخواست می‌دهند — نقش‌هایی که می‌توانند دسترسی به کلیدها، امضا‌کننده‌ها یا APIهای خزانه را فراهم کنند.

رهبران امنیتی تاکتیک‌های رایج زیر را برجسته کرده‌اند:

  • درخواست‌های شغلی جعلی و رزومه‌های متقن که برای عبور از غربالگری اولیه طراحی شده‌اند.
  • جای‌گذاری خود به‌عنوان استخدام‌کنندهٔ شخص ثالث برای درگیر کردن کارکنان فعلی و ترغیب به دانلود نرم‌افزار یا اعطای دسترسی از راه دور.
  • مهندسی اجتماعی در طول مصاحبه‌ها — برای مثال ادعای وجود مشکل در Zoom و درخواست اجرای یک «به‌روزرسانی» از طریق لینک اشتراکی که در واقع بدافزار نصب می‌کند.

حتی دسترسی اولیه و محدود نیز می‌تواند تهدیدی جدی باشد. بازیگر مهاجم با استفاده از تکنیک‌های افزایش امتیاز (privilege escalation) می‌تواند به خطوط تحویل (deployment pipelines) دست ببرد، اسکریپت‌های مخرب وارد کند یا فرایندهای CI/CD را تغییر دهد تا کلیدها، امضاها یا تراکنش‌های مالی را هدف قرار دهد. نمونه‌هایی از این نوع حملات نشان می‌دهد که نفوذ به یک محیط توسعه یا اداری به‌سرعت می‌تواند به نشت کلیدهای خصوصی یا اجرای تراکنش‌های غیرمجاز منجر شود.

باج‌افزار، اخاذی و پرداخت‌های آن‌چین

چندین رویداد مرتبط با کارکنان کره‌شمالی ظاهراً شامل باج‌افزار یا درخواست‌های اخاذی بوده است. مهاجمان سیستم‌های داخلی را رمزگذاری کرده یا تهدید به افشای داده‌های حساس کرده و سپس درخواست پرداخت به صورت رمزارز داشته‌اند. استفاده از استیبل‌کوین‌هایی مانند USDC فرایند پرداخت را سریع می‌کند و در عین حال روش‌هایی برای پیچیده‌سازی ردیابی ایجاد می‌نماید؛ به‌ویژه زمان‌هایی که وجوه از طریق پل‌ها، میکسرها یا صرافی‌های کوچک دوباره ترکیب می‌شوند.

تحلیل آن‌چین معمولاً الگوهای خوشه‌بندی و بازاستفادهٔ کیف‌پول‌ها یا زیرساخت‌ها را نشان می‌دهد که می‌تواند سرنخ‌هایی برای ارتباط میان حملات متعدد فراهم کند. شمارشی که ZachXBT ارائه داده — بیش از 25 حادثه — منعکس‌کننده این سیگنال‌های همگرا است که در طول سال‌ها از کارهای جرم‌شناسی بلاکچین به‌دست آمده‌اند. برای مثال، الگوریتم‌های خوشه‌بندی آدرس‌ها، بررسی زمان‌بندی تراکنش‌ها و تحلیل تعاملات با صرافی‌های شناخته‌شده یا پل‌ها می‌تواند زنجیرهٔ انتقال وجوه را دنبال کند و نقاط اتصال بین حوادث را آشکار سازد.

واکنش صنعت: هشدارها، کنترل‌های استخدام و انطباق

با روشن‌شدن این تهدیدها، به شرکت‌های رمزارزی هشدار داده می‌شود که باید متقاضیان از حوزه‌های تحریم‌شده — از جمله کره‌شمالی — را به‌عنوان عوامل بالقوهٔ ریسک داخلی در نظر بگیرند. توصیه‌هایی که از سوی تیم‌های امنیتی و محققان مطرح شده عبارت‌اند از:

  • تقویت فرایندهای جذب از راه دور، شامل بررسی هویت عمیق‌تر و اعتبارسنجی‌های اصالت برای پیمان‌کاران.
  • محدود کردن دسترسی اولیه به سیستم‌های غیرتولیدی تا پس از طی شدن مراحل بررسی کامل.
  • اجرای سیاست‌های حسابرسی برای دسترسی‌های ممتاز، مدیریت کلید و الزام به استفاده از چند امضایی برای عملیات خزانه.
  • پایش جریان‌های خروجی روی زنجیره برای الگوهای غیرعادی که با روش‌های پولشویی شناخته‌شده DPRK همخوانی دارد، به‌ویژه مسیرهای مشخص استیبل‌کوین.

رهبران امنیتی همچنین بر نیاز به افشای مسئولانه و همکاری میان صرافی‌ها، نگه‌دارندگان و تیم‌های تطبیق تأکید دارند تا بتوان وجوه مشکوک را سریعاً مسدود یا ردیابی کرد. در عمل این همکاری شامل به‌اشتراک‌گذاری شاخص‌های سازگاری (IOCs)، امضای توافق‌نامه‌های همکاری و استفاده از کانال‌های گزارش‌دهی سریع میان نهادها می‌شود.

چرا این موضوع برای اکوسیستم‌های بلاکچین اهمیت دارد

شرکت‌های رمزارزی در محیطی با ریسک بالا فعالیت می‌کنند که در آن دسترسی داخلی می‌تواند به همان اندازه یا حتی بیشتر از حملات بیرونی مخرب باشد. ترکیب استخدام از راه دور، مصاحبه‌های کمک‌شده توسط هوش مصنوعی و جذابیت استیبل‌کوین‌ها برای انتقال سریع وجوه، سطح تهدیدی را ایجاد کرده که هم به دفاع‌های فنی و هم به کنترل‌های فرایندی نیاز دارد.

پلتفرم‌های وام‌دهی، صرافی‌های غیرمتمرکز، نگه‌دارنده‌ها و ارائه‌دهندگان زیرساخت بلاکچینی بایستی سطح بالاتری از دقت را در بررسی‌ها فرض کنند. مهاجمانی که حتی نقش محدودی در بخش توسعه یا عملیات به‌دست آورند، می‌توانند با تغییر فرایندهای تحویل یا استخراج کلیدها، آسیب فراوانی وارد کنند. بنابراین طراحی سیاست‌های دفاعی باید شامل لایه‌های مجزای کنترل، بررسی‌های مستقل و مانیتورینگ مداوم باشد.

گام‌های عملی برای شرکت‌ها و کاربران

برای سازمان‌ها و کاربران حساس به امنیت، اقدامات عملی و قابل پیاده‌سازی شامل موارد زیر است:

  • اجرای سیاست‌های سختگیرانهٔ چندامضایی و استفاده از کلیدهای سخت‌افزاری (HSM یا سخت‌افزارهای نگهداری کلید) برای عملیات خزانه.
  • راستی‌آزمایی و تأیید دقیق متقاضیان راه دور، با استفاده از مدارک هویتی مستقل، بررسی‌های پیشینه و اعتبارسنجی‌های تلفنی یا تصویری که با استانداردهای بین‌المللی همخوانی دارد.
  • محدود کردن دسترسی پیمان‌کاران جدید به محیط‌های ایزوله یا sandbox تا زمانی که اعتماد و تاریخچهٔ کاری آن‌ها تثبیت شود.
  • نگهداری سامانهٔ مانیتورینگ آن‌چین و ایجاد کانال‌های گزارش‌دهی سریع با صرافی‌ها و صادرکنندگان استیبل‌کوین برای مسدودسازی تراکنش‌های مشکوک در کوتاه‌ترین زمان ممکن.
  • آموزش کارکنان دربارهٔ تکنیک‌های مهندسی اجتماعی متداول در فرایندهای جذب و مصاحبه، و اجرای شبیه‌سازی‌های مداوم برای سنجش آمادگی تیم‌ها.

در سطح اجرایی، شرکت‌ها باید چارچوب‌های حاکمیتی و سیاست‌های مربوط به مدیریت تأمین‌کنندگان و پیمان‌کاران را بازنگری کنند. استفاده از قراردادهای دارای بندهای امنیتی، الزام به گزارش‌گیری از آسیب‌پذیری‌ها و برگزاری بررسی‌های امنیتی مستقل برای کد و زیرساخت، می‌تواند خطرات را کاهش دهد. همچنین، ایجاد فرآیندهای خودکار برای کشف تغییرات مشکوک در خطوط CI/CD و کنترل امضای دیجیتال در زمان اجرا، از روش‌‌های فنی مؤثر برای کاهش برد حملات داخلی است.

نتیجه‌گیری: در نظر گرفتن ریسک جذب به‌عنوان بخشی از امنیت رمزارز

ارزیابی ZachXBT نگرانی‌ها را در مورد اینکه چگونه استخدام از راه دور می‌تواند علیه شرکت‌های رمزارزی به‌کار گرفته شود، افزایش می‌دهد. گرچه برخی متقاضیان ممکن است صرفاً به دنبال کسب درآمد باشند، هم‌پوشانی مستند تاکتیک‌های جذب و رخنه‌های موفق نشان می‌دهد که یک تهدید منظم و سازمان‌یافته وجود دارد. شرکت‌ها باید میان بهره‌وری حاصل از منابع انسانی راه دور و نیاز به کنترل‌های امنیتی سخت‌گیرانه تعادل برقرار کنند؛ و صادرکنندگان استیبل‌کوین و نگهدارندگان باید نسبت به سوءاستفاده‌های آن‌چین هوشیار بمانند.

حفاظت از زیرساخت رمزارزی نیازمند ترکیب تدابیر فنی قوی، سیاست‌های مدیریت نیروی انسانی و کنترل‌های تأمین‌کننده است. با بلوغ صنعت، همکاری بین محققان، صرافی‌ها، صادرکنندگان استیبل‌کوین و ناظران نظارتی برای کاستن از خطر نفوذهای مرتبط با DPRK و حفظ مقاومت امور مالی غیرمتمرکز امری ضروری خواهد بود. این همکاری می‌تواند شامل تبادل شاخص‌های تهدید، توسعه استانداردهای بررسی هویتی بین‌المللی و اتوماسیون در پاسخ‌های انطباقی باشد که سرعت واکنش به سوءاستفاده‌ها را افزایش می‌دهد.

منبع: crypto

نظرات

ارسال نظر

مطالب مرتبط