هکرهای کره شمالی با جا زدن خود به عنوان کارمند راه دور IT و سرمایه‌گذاران خطرپذیر، مشغول سرقت ارز دیجیتال و اطلاعات محرمانه هستند

در تلاش بی‌وقفه برای سرقت ارزهای دیجیتال و اطلاعات حساس، هکرهای کره شمالی خود را به‌عنوان کارمند راه دور IT، استخدام‌کنندگان، و حتی سرمایه‌گذاران خطرپذیر جا می‌زنند.

این تاکتیک‌های پیچیده، محور بحث کنفرانس Cyberwarcon در ماه گذشته در واشنگتن دی‌سی بود. پژوهشگران در این رویداد توضیح دادند که چگونه میلیاردها دلار ارز دیجیتال سرقت‌شده، به پیونگ‌یانگ که تحت تحریم‌های شدید قرار دارد، کمک کرده تا برنامه‌های هسته‌ای خود را تأمین مالی کند.

جیمز الیوت، عضو مرکز اطلاعات تهدیدات مایکروسافت (MSTIC)، شرح داد که چگونه کارمندان IT کره شمالی موفق شده‌اند در صدها شرکت در سراسر جهان استخدام شوند.

آن‌ها با استفاده از هویت‌های جعلی متقاعدکننده، شامل پروفایل‌های دروغین لینکدین و حساب‌های گیت‌هاب، تصاویر تولیدشده با هوش مصنوعی و نرم‌افزارهای تغییر صدا، توانسته‌اند در شغل‌های راه دور و پردرآمد استخدام شوند.

این کارمندان جعلی، با کمک واسطه‌هایی در آمریکا، دسترسی از راه دور به سیستم‌ها را به دست می‌آورند و از داخل کره شمالی یا کشورهای متحد مانند چین و روسیه کار می‌کنند.

استخدام یک کره شمالی در شرکتی که از کشور محل زندگی او بی‌خبر است، درآمدی برای این کشور تحریم‌شده فراهم می‌کند.
اما پاداش بزرگ‌تر برای کره شمالی زمانی است که این فعالیت‌ها منجر به سرقت پول یا ارز دیجیتال از سازمان‌ها شود، یا اگر «کارمند» موفق به سرقت مالکیت فکری، اطلاعات مربوط به سیستم‌های تسلیحاتی یا داده‌های ارزشمند دیگر شود که می‌توانند برای این دولت مفید باشند.

اما کارمند IT تنها نقابی نیست که این هکرها استفاده می‌کنند.

پژوهش‌های مایکروسافت گروه تهدیدی با نام Sapphire Sleet (که با نام‌های BlueNoroff، CageyChameleon و CryptoCore نیز شناخته می‌شود) را شناسایی کرده‌اند که سازمان‌های فعال در حوزه ارزهای دیجیتال را هدف قرار داده‌اند.
اعضای این گروه خود را به‌عنوان سرمایه‌گذاران خطرپذیر یا استخدام‌کنندگان جا زده‌اند.

این هکرها با تظاهر به علاقه‌مندی به سرمایه‌گذاری در یک شرکت یا ارائه یک پیشنهاد شغلی جذاب، جلسه‌ای مجازی با کارمند هدف ترتیب می‌دهند. اما زمانی که کاربر تلاش می‌کند به تماس تصویری متصل شود، با پیام خطا مواجه شده و به او گفته می‌شود که برای حل مشکل با پشتیبانی تماس بگیرد.
پس از تماس، عامل تهدید یک «راه‌حل» ارسال می‌کند که در واقع باعث دانلود بدافزار روی کامپیوتر قربانی می‌شود. این بدافزار به‌دنبال کیف‌پول‌های ارز دیجیتال و سایر اطلاعات اعتباری می‌گردد.

با وجود تعقیب قضایی افراد مرتبط با این طرح‌ها و تحریم‌هایی که دولت آمریکا اعمال کرده، این تهدید همچنان ادامه دارد. شرکت‌ها به‌شدت تشویق می‌شوند تا فرآیندهای خود را تقویت کرده و کارمند راه دور را با دقت بیشتری ارزیابی کنند.

منبع: https://www.bitdefender.com/en-us/blog/hotforsecurity/north-korean-hackers-masquerade-as-remote-it-workers-and-venture-capitalists-to-steal-crypto-and-secrets