پیوند کارکنان دورکار کره شمالی با نفوذهای گسترده رمزارزی

تحلیلگر بلاک‌چین کارکنان دورکار کره‌شمالی را به نفوذهای متعدد رمزارزی مرتبط کرد

یک پژوهشگر مشهور زنجیره‌ای با نام مستعار ZachXBT ادعا می‌کند که پیمانکاران فناوری اطلاعات مرتبط با کره‌‌ی شمالی (DPRK) به بیش از 25 رخداد سایبری موثر بر صنعت رمزارزها ارتباط دارند. این ادعا در واکنش به پُستی از امجد مسعد، مدیرعامل پلتفرم کدنویسی هوش مصنوعی Replit، مطرح شد که درباره افزایش نامعمول متقاضیان دورکار از کره‌شمالی که از ابزارهای مبتنی بر هوش مصنوعی در مصاحبه‌ها استفاده می‌کنند ابراز نگرانی کرده بود.

چه چیزی این بحث را شعله‌ور کرد

مسعد ویدیوی کوتاهی در شبکه X (که پیش‌تر توییتر نام داشت) منتشر کرد که نشان می‌داد متقاضیان شغل از راه دور — اغلب با معرفی خود به‌عنوان متخصصان IT — ظاهراً از فیلترها و ابزارهای یاری‌دهنده مصاحبهٔ مبتنی بر هوش مصنوعی برای عبور از غربالگری اولیه در شرکت‌های فناوری آمریکا بهره می‌گیرند. او این روند را عمدتاً با دید اقتصادی تبیین کرد: پیمانکارانی که برای تأمین درآمد به نفع DPRK کار می‌کنند، نه لزوماً برای نفوذ خرابکارانه به شرکت‌های غربی.

ZachXBT با این برداشت مخالفت کرد. او ضمن پذیرش انگیزهٔ مالی، تأکید کرد که استخدام کارکنان IT از کره‌شمالی اغلب به‌عنوان یک نقطهٔ ورود برای حملات سایبری، حملات باج‌افزاری و طرح‌های اخاذی علیه شرکت‌های رمزارزی استفاده شده است و شواهد قابل‌توجهی این ادعا را تقویت می‌کند.

مسعد نوشته بود «برای نفوذ کردن نیست» — دیدگاهی که ZachXBT آن را اشتباه خواند. براساس تحقیقات ZachXBT، دست‌کم 25 مورد مستند وجود دارد که در آن‌ها کارکنان دورکار وابسته به کره‌شمالی در هک‌ها، پیاده‌سازی باج‌افزار یا تلاش‌های اخاذی علیه پروژه‌ها و شرکت‌های بلاک‌چینی دخیل شناخته شده‌اند.

شواهد و الگوهای زنجیره‌ای: یافته‌های ZachXBT

ZachXBT به رشته‌های تحقیقی قبلی ارجاع داد که نشان می‌داد مهاجمان چگونه ابتدا استخدام یا قرارداد می‌گرفتند و سپس از دسترسی داخلی برای خارج‌سازی سرمایه‌ها، نصب باج‌افزار یا تسهیل تراکنش‌های فریب‌آمیز استفاده می‌کردند. این محقق می‌گوید بسیاری از این رخدادها الگویی ثابت را نشان می‌دهند که می‌توان آن را در چند محور کلیدی خلاصه کرد:

• پذیرش از راه دور یا دسترسی قراردادی که برای به‌دست آوردن مدارک دسترسی ویژه (privileged credentials) مورد استفاده قرار گرفته است.
• حرکت جانبی در شبکه‌های شرکت برای دسترسی به کیف‌پول‌ها، سیستم‌های مدیریت کلید (KMS)، یا نقاط انتهایی خزانه (treasury endpoints).
• استفاده از مسیرهای شناخته‌شده پول‌شویی مبتنی بر استیبل‌کوین‌ها مانند USDC برای جابه‌جایی سریع وجوه دزدیده‌شده در زنجیره.

به‌گفتهٔ ZachXBT، این ردپاهای زنجیره‌ای در کنار تاریخچهٔ استخدام و نشانگرهای دیجیتال‌فورنزیک، نشان‌دهندهٔ یک مدل عملیاتی سامان‌یافته است نه تقلب‌های پراکنده و فرصت‌طلبانه. تحلیل او شامل نمونه‌هایی از تراکنش‌ها، الگوهای کیف‌پول و همپوشانی‌های زیرساختی است که همدیگر را تقویت می‌کنند.

نقش USDC و استیبل‌کوین‌ها در جمع‌آوری منابع DPRK

این نخستین بار نیست که تحلیلگران به استفادهٔ DPRK از استیبل‌کوین‌ها اشاره می‌کنند. گزارش‌ها و آنالیزهای زنجیره‌ای پیشین نشان داده‌اند که تهدیدگران مرتبط با کره‌شمالی میلیون‌ها دلار را از طریق USDC و دیگر توکن‌ها جابه‌جا کرده‌اند؛ بهره‌گیری از سرعت، سهولت انتقال و ویژگی‌های فرامرزیِ رمزارزها باعث شده این روش جذاب باشد. این فعالیت‌ها هم انتشار انتقادات علیه صادرکنندگان استیبل‌کوین—از جمله Circle—را در پی داشت و ناظران خواستار پایش پیشگیرانه‌تر تراکنش‌ها و پاسخ‌های سریعِ انطباقی شدند.

مطلب مرتبط

ادامه مطلب

هکرهای تحت حمایت دولت کره شمالی، تهدیدی رو به رشد برای صنعت ارز دیجیتال

گروه‌های هکری کره شمالی و هدف‌گیری فعال بخش رمز ارزها گروه‌های هکری وابسته به دولت کره...

ZachXBT به‌طور علنی از برخی نهادهای نگهبان (custodians) به‌خاطر واکنش‌نشان‌ندادن به‌موقع یا کنترل‌های ناکافی در فرآیند مسدودسازی جریان‌های غیرقانونی انتقاد کرده است. او معتقد است شفافیت‌ بلاک‌چین باید شناسایی این الگوها را آسان‌تر کند، اما در عین حال واکنش‌های اجرایی و مقرراتی در سراسر صنعت هنوز نامتوازن و گاه ناکافی‌اند.

شیوه‌های جذب و مسیرهای تهدید درونی

چانگپنگ ژائو (CZ)، مدیرعامل پیشین بایننس، نیز نسبت به خطر افزایش‌یافته از سوی جذب‌کنندگان مخرب و متقاضیان ساختگی هشدار داده است. براساس اظهارات CZ و گزارش‌های همسو، بازیگران مرتبط با DPRK اغلب برای موقعیت‌های مهندسی، امنیت، مالی و DevOps درخواست می‌دهند — سمت‌هایی که می‌توانند دسترسی به کلیدها، امضا‌کننده‌ها یا APIهای خزانه را فراهم کنند.

رهبران امنیتی تاکتیک‌های متداول زیر را گزارش کرده‌اند که در بسیاری از نمونه‌ها تکرار شده‌اند:

• درخواست‌های شغلی ساختگی و رزومه‌های مجعول با مدارک ظاهراً معتبر که از غربالگری اولیه عبور می‌کنند.
• پیشنمایی به‌عنوان مترجمان یا آژانس‌های ثالث برای تماس با کارکنان فعلی و ترغیب به دانلود یا ایجاد دسترسی از راه دور.
• مهندسی اجتماعی در طول مصاحبه — مثلاً اشاره به بروز خطایی در Zoom و درخواست اجرای یک "به‌روزرسانی" از طریق لینک مشترک که در واقع نرم‌افزار مخرب نصب می‌کند.

هنگامی که یک بازیگر حتی دسترسی داخلی محدودی بدست آورد، می‌تواند تلاش کند امتیازات را بالا ببرد، خطوط تولید (deployment pipelines) را دستکاری کند یا اسکریپت‌های مخربی را وارد کند که هدف‌شان کیف‌پول‌ها و قراردادهای هوشمند است. بنابراین کنترل‌ فنی باید با رویه‌های دقیق HR و بررسی‌های پس‌زمینه ترکیب شود تا از آسیب گسترده جلوگیری گردد.

باج‌افزار، اخاذی و پرداخت‌های اخاذانه در زنجیره

چندین مورد مرتبط با کارکنان IT کره‌شمالی گزارش شده که شامل باج‌افزار یا درخواست‌های اخاذی بوده‌اند. در بعضی از حملات، مهاجمان سیستم‌های داخلی را رمزگذاری کرده یا تهدید به افشای داده‌های حساس نمودند و سپس طلب پرداخت به صورت رمزارز کردند. استفاده از استیبل‌کوین‌هایی مانند USDC امکان انتقال سریع و فناوری‌هایی برای مخفی‌سازی مسیر وجوه را فراهم می‌آورد که بازیابی را پیچیده‌تر می‌سازد.

آنالیز زنجیره‌ای معمولاً الگوهای خوشه‌ای و بازاستفادهٔ کیف‌پول‌ها یا زیرساخت‌های مشابه در چندین رخداد را نشان می‌دهد که این ردپاها به پژوهشگران امکان می‌دهد رشته‌هایی قابل ردیابی بین عملیات‌های جداگانه بیابند. شمارش بیش از 25 رخداد توسط ZachXBT مبتنی بر این سیگنال‌های همگرا و سال‌ها کار فورنزیک و بررسی داده‌های بلاک‌چینی است.

واکنش صنعت: هشدارها، کنترل استخدام و انطباق

با روشن‌شدن این تهدیدات، شرکت‌های رمزارزی بیشتر به این سمت هدایت می‌شوند که متقاضیان از حوزه‌های تحریم‌شده — از جمله کره‌شمالی — را به‌عنوان منابع احتمالی تهدید داخلی در نظر بگیرند. توصیه‌های تیم‌های امنیتی و پژوهشگران شامل موارد زیر است:

مطلب مرتبط

ادامه مطلب

افشای حلقه هک رمزارزها با شناسایی دستگاه آلوده

یک دستگاه فاش شده متعلق به یکی از کارکنان فناوری اطلاعات کره شمالی، پرده از یک...

• تقویت فرآیندهای پذیرش از راه دور، شامل بررسی هویت عمیق‌تر و کنترل‌های منبع و سابقه برای پیمانکاران.
• محدود کردن دسترسی اولیه به سیستم‌های غیرتولیدی تا زمانی که بررسی‌های کامل انجام شود و اعتمادسازی صورت گیرد.
• اجرای سیاست‌های کنترل دسترسی خاص برای امتیازات ویژه، مدیریت کلیدها و الزام به امضاهای چندگانه برای عملیات خزانه.
• پایش جریان‌های خروجی زنجیره برای شناسایی الگوهای نامعمول که با استراتژی‌های پول‌شویی مرتبط با DPRK همخوانی دارند، شامل مسیرهای خاص استیبل‌کوین.

رهبران امنیتی همچنین بر ضرورت افشای مسئولانه و همکاری میان صرافی‌ها، نگهبانان و تیم‌های انطباق تأکید دارند تا وجوه مشکوک هرچه سریع‌تر مسدود یا ردیابی شود. این همکاری می‌تواند شامل کانال‌های گزارش‌دهی سریع بین بازیگران صنعت و مراجع قانونی برای تسهیل پاسخ‌گویی آنی باشد.

چرا این موضوع برای اکوسیستم بلاک‌چین اهمیت دارد

شرکت‌های رمزارزی در محیطی با ریسک بالا فعالیت می‌کنند؛ جایی که دسترسی داخلی می‌تواند به اندازهٔ آسیب‌های ناشی از حملات بیرونی مخرب باشد. ترکیب استخدام دورکار، مصاحبه‌های پشتیبانی‌شده توسط هوش مصنوعی و جذابیت استیبل‌کوین‌ها برای انتقال سریع، سطح تهدیدی ایجاد کرده که نیازمند دفاع‌های فنی و رویه‌ای است.

پلتفرم‌های وام‌دهی، صرافی‌های غیرمتمرکز، نگهبانان و فراهم‌کنندگان زیرساخت بلاک‌چین به‌ویژه باید سطح بالاتری از دقت و بررسی را فرض کنند. مهاجمانی که حتی نقش‌های توسعه‌دهنده یا عملیات محدودی به‌دست می‌آورند، می‌توانند از طریق دستکاری خط‌های انتشار یا خارج‌سازی کلیدهای خصوصی خسارات چشم‌گیری وارد کنند، بنابراین توجه به امنیت در هر دو حوزهٔ فناوری و منابع انسانی ضروری است.

گام‌های عملی برای شرکت‌ها و کاربران

برای سازمان‌ها و کاربران حساس به امنیت، گام‌های قابل توصیه عبارتند از:

• اجرای سختگیرانهٔ سیاست‌های چندامضایی (multi-sig) و استفاده از کلیدهای سخت‌افزاری برای عملیات خزانه.
• بررسی و تأیید کامل متقاضیان دورکار، شامل مدارک هویتی مستقل و بررسی‌های پیشینه هر زمان که ممکن است.
• محدود کردن محدودهٔ دسترسی پیمانکاران جدید به محیط‌های آزمایشی یا sandbox تا زمانی که اعتماد و صلاحیت آن‌ها اثبات شود.
• حفظ سامانه‌های پایش زنجیره‌ای و داشتن کانال‌های گزارش‌دهی سریع با صرافی‌ها و صادرکنندگان استیبل‌کوین برای انسداد تراکنش‌های مشکوک.
• آموزش کارکنان دربارهٔ تاکتیک‌های مهندسی اجتماعی که در روند جذب و مصاحبه مورد استفاده قرار می‌گیرد، از جمله روش‌های فیشینگ، درخواست‌های به‌روزرسانیِ ساختگی و سایر دام‌ها.

این اقدامات فنی و رویه‌ای، زمانی که با سیاست‌های HR دقیق و همکاری بین‌بخشی همراه شود، می‌تواند لایه‌های حفاظتی مؤثرتری ایجاد کند و ریسک‌های درونی را به‌طور معنی‌داری کاهش دهد.

نتیجه‌گیری: ریسک استخدام را جزئی از امنیت رمزارز بدانید

تحلیل ZachXBT نگرانی‌ها را دربارهٔ این‌که چگونه استخدام از راه دور می‌تواند علیه شرکت‌های رمزارزی به‌کار گرفته شود به سطح بالاتری برده است. اگرچه برخی متقاضیان ممکن است صرفاً به‌دنبال کسب درآمد باشند، همپوشانی مستند بین تاکتیک‌های جذب و نفوذهای موفق نشان می‌دهد که تهدیدی سازمان‌یافته و پایدار وجود دارد. شرکت‌ها باید تعادل بین بهره‌وری جذب از راه دور و اعمال کنترل‌های امنیتی دقیق را برقرار کنند و صادرکنندگان استیبل‌کوین و نگهبانان نیز باید نسبت به سوء‌استفاده‌های زنجیره‌ای هوشیار باقی بمانند.

حفاظت از زیرساخت رمزارزی نیازمند هم‌زمانیِ تدابیر فنی قوی و فرایندهای منضبط در واحدهای منابع انسانی و تهیه است. با رشد و بلوغ صنعت، همکاری میان پژوهشگران، صرافی‌ها، صادرکنندگان استیبل‌کوین و نهادهای مقرراتی برای کاهش خطر نفوذهای مرتبط با DPRK و افزایش تاب‌آوری در برابر تهدیدات، حیاتی خواهد بود.

مطلب مرتبط

ادامه مطلب

سرقت تاریخی ارز دیجیتال از Bybit: ناپدید شدن بخش بزرگی از دارایی‌های به سرقت رفته

سرقت بزرگ ارز دیجیتال Bybit و ناپدید شدن دارایی‌ها از دسترس سه ماه پس از وقوع...