رویترز: جاسوسان کره شمالی با ثبت شرکت در آمریکا در پی حمله‌های سایبری هستند

بر اساس تحقیقات پژوهشگران امنیت سایبری و اسنادی که رویترز آنها را مشاهده کرده است، جاسوسان سایبری کره‌شمالی با نقض تحریم‌های وزارت خزانه‌داری آمریکا، دو شرکت در ایالات متحده تاسیس کرده‌اند تا توسعه‌دهندگان فعال در صنعت رمزارز را با بدافزار آلوده کنند.

این دو شرکت‌ با نام‌های بلاک‌نواس و سافت‌گلاید با استفاده از هویت‌ها و آدرس‌های جعلی در ایالت‌های نیومکزیکو و نیویورک ثبت شده‌اند.

بر اساس این گزارش، یک شرکت سوم هم به نام آژانس آنجلوپر هم به این کارزار مرتبط است، اما به نظر نمی‌رسد در ایالات متحده ثبت شده باشد.

کِیسی بِست، مدیر اطلاعات تهدید در شرکت امنیت سایبری سایلنت پوش به رویترز گفت: «این یکی از معدود نمونه‌هایی است که هکرهای کره شمالی موفق شده‌اند شرکت‌های حقوقی در آمریکا تاسیس کنند تا از طریق آن‌ها به عنوان پوشش، متقاضیان شغل را هدف قرار دهند.»

بست همچنین افزود: «این حملات با استفاده از شخصیت‌های جعلی که پیشنهاد مصاحبه شغلی می‌دهند، صورت می‌گیرند. سپس بدافزارهای پیچیده‌ای را بر روی سیستم قربانیان نصب می‌کنند تا کیف‌پول‌های رمزارز آن‌ها را هک کرده و رمزها و اطلاعات ورودشان را برای حملات بعدی به شرکت‌های قانونی سرقت کنند.»

بر اساس اعلام شرکت سایلنت پوش، این هکرها عضو یک زیرگروه از گروه لازاروس هستند، تیمی نخبه از هکرهای کره شمالی که زیر نظر سازمان اصلی اطلاعات خارجی پیونگ‌یانگ فعالیت می‌کند.

اف‌بی‌آی، دامنه اینترنتی یکی از این شرکت‌ها به نام بلاک‌نواس، به عنوان بخشی از «اقدامات قانونی علیه عوامل سایبری کره شمالی» توقیف شده، زیرا بر اساس اطلاعیه اف‌بی آی، این دامنه برای انتشار آگهی‌های جعلی شغلی و توزیع بدافزار مورد استفاده قرار گرفته است.

پیش از این توقیف، مقامات اف‌بی‌آی به رویترز گفتند که این نهاد همچنان «بر اعمال ریسک و پیامدها نه‌فقط بر عوامل کره شمالی، بلکه بر هرکسی که تسهیل‌کننده این عملیات‌ها باشد تمرکز دارد.»

محققان سایلنت پوش تائید کرده‌اند که به‌ویژه از طریق بلاک‌نواس که فعال‌ترین شرکت جعلی از میان سه مورد شناخته‌شده بوده است، چندین نفر قربانی این کارزار سایبری شده‌اند.

تحریم‌ها

رویترز اسناد ثبت شرکت‌های بلاک‌نواس در نیومکزیکو و سافت‌گلاید در نیویورک را بررسی کرده است و دریافته که افراد ذکر شده در این اسناد، قابل شناسایی نبودند.

آدرس ثبت‌شده برای بلاک‌نواس در وارن‌ویل، جایی در کارولینای جنوبی است، که در نقشه گوگل به‌نظر می‌رسد قطعه زمینی خالی باشد. ظاهرا یک دفتر مالیاتی کوچک در بوفالو در ایالت نیویورک ثبت شده است.

این اقدامات نشان‌دهنده تکامل تلاش‌های گسترده کره شمالی برای هدف قرار دادن صنعت رمزارز به‌منظور کسب درآمد برای دولت پیونگ‌یانگ است.

ایالات متحده، کره جنوبی و سازمان ملل می‌گویند کره شمالی علاوه بر سرقت ارز خارجی از طریق حملات سایبری، هزاران نیروی متخصص فناوری اطلاعات را به خارج از کشور اعزام کرده تا میلیون‌ها دلار برای برنامه موشکی هسته‌ای پیونگ‌یانگ تامین مالی کنند.

وجود شرکتی تحت کنترل کره شمالی، وابسته به دولت این کشور و ثبت‌شده در خاک آمریکا، نقض تحریم‌های دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا به‌شمار می‌رود.

این اقدام همچنین ناقض تحریم‌های سازمان ملل است که هرگونه فعالیت تجاری با هدف حمایت از دولت یا ارتش کره شمالی را ممنوع کرده است.

یکی از مقامات مسئول در ایالت نیویورک به رویترز گفت درباره شرکت‌های ثبت‌شده در این ایالت اظهار نظر نمی‌کند. یک مقام ایالت نیومکزیکو هم در ایمیلی اعلام کرد ثبت‌نام این شرکت مطابق با قانون ایالتی و از طریق یک نماینده قانونی انجام شده است و دفتر ما هیچ راهی برای اطلاع از ارتباط این شرکت با کره شمالی نداشت.»

هکرها تلاش کردند تا متقاضیان شغلی جعلی را با دست‌کم سه نوع بدافزار شناخته‌شده که قبلا به عملیات‌های سایبری کره شمالی نسبت داده شده، آلوده کنند.

بدافزارهایی که شرکن سایلنت پوش شناسایی‌ کرده می‌توانند اطلاعات سرقت کنند، دسترسی به شبکه‌ها را فراهم کرده و اشکال دیگر بدافزار را بارگذاری کنند.